Vulnérabilité dans Apache Tomcat
Date de publication :
Une vulnérabilité a été découverte dans Apache Tomcat. Elle peut permettre à un attaquant distant d’accéder à des données confidentielles et d’exécuter du code arbitraire.
CVE-2020-1938 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans le connecteur AJP (Apache JServ Protocol) d’Apache Tomcat, qui est activé par défaut. Cette vulnérabilité est due au niveau de confiance accordé aux connexions AJP par Apache Tomcat qui est plus haut que celui accordé à des connexions standards, par exemple HTTP.
Si un attaquant a accès à un connecteur AJP, il pourrait alors accéder à des données confidentielles. De plus, si l’application propose une fonctionnalité de téléchargement de fichier, un attaquant pourrait alors exécuter du code arbitraire en fournissant un fichier JSP (JavaServer Pages) spécialement forgé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Des preuves de concept (PoC) sont disponibles publiquement.
Composants vulnérables
- Apache Tomcat versions 7.0.0 à 7.0.99
- Apache Tomcat versions 8.5.0 à 8.5.50
- Apache Tomcat versions 9.0.0.M1 à 9.0.30
CVE
- CVE-2020-1938
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Apache Tomcat vers la version 7.0.100, 8.5.51 ou 9.0.31.
Solution de contournement
- Il est recommandé de désactiver le connecteur AJP s’il n’est pas nécessaire.