| 漏洞类型 | 跨站重定向 | 发现时间 | 2023-08-26 | 漏洞等级 | 低危 |
| MPS编号 | MPS-uy56-j8e4 | CVE编号 | CVE-2023-41080 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Apache Tomcat 是一款开源的 Web 应用服务器 在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使得用户重定向到恶意的URL地址。 参考链接:https://www.oscs1024.com/hd/MPS-uy56-j8e4 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| tomcat9 (-∞, 9.0.70-2) | 升级 | 将组件 tomcat9 升级至 9.0.70-2 及以上版本 |
| tomcat10 (-∞, 10.1.13-1) | 升级 | 将组件 tomcat10 升级至 10.1.13-1 及以上版本 |
| org.apache.tomcat:tomcat-catalina [8.5.0, 8.5.93) | 升级 | 将组件 org.apache.tomcat:tomcat-catalina 升级至 8.5.93 及以上版本 |
| org.apache.tomcat:tomcat-catalina [9.0.0-M1, 9.0.80) | 升级 | 将组件 org.apache.tomcat:tomcat-catalina 升级至 9.0.80 及以上版本 |
| org.apache.tomcat:tomcat-catalina [10.1.0-M1, 10.1.13) | 升级 | 将组件 org.apache.tomcat:tomcat-catalina 升级至 10.1.13 及以上版本 |
| org.apache.tomcat:tomcat-catalina [11.0.0-M1, 11.0.0-M11) | 升级 | 将组件 org.apache.tomcat:tomcat-catalina 升级至 11.0.0-M11 及以上版本 |
| tomcat9 (-∞, 9.0.70-2) | 升级 | 将组件 tomcat9 升级至 9.0.70-2 及以上版本 |
| org.apache.tomcat:tomcat [10.1.0-M1, 10.1.13) | 升级 | 将组件 org.apache.tomcat:tomcat 升级至 10.1.13 及以上版本 |
| org.apache.tomcat:tomcat [9.0.0-M1, 9.0.80) | 升级 | 将组件 org.apache.tomcat:tomcat 升级至 9.0.80 及以上版本 |
| org.apache.tomcat:tomcat [11.0.0-M1, 11.0.0-M11) | 升级 | 将组件 org.apache.tomcat:tomcat 升级至 11.0.0-M11 及以上版本 |
| org.apache.tomcat:tomcat [8.5.0, 8.5.93) | 升级 | 将组件 org.apache.tomcat:tomcat 升级至 8.5.93 及以上版本 |
| org.apache.tomcat.embed:tomcat-embed-core [10.1.0-M1, 10.1.13) | 升级 | 将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 10.1.13 及以上版本 |
| org.apache.tomcat.embed:tomcat-embed-core [8.5.0, 8.5.93) | 升级 | 将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 8.5.93 及以上版本 |
| org.apache.tomcat.embed:tomcat-embed-core [11.0.0-M1, 11.0.0-M11) | 升级 | 将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 11.0.0-M11 及以上版本 |
| org.apache.tomcat.embed:tomcat-embed-core [9.0.0-M1, 9.0.80) | 升级 | 将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 9.0.80 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-uy56-j8e4 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-uy56-j8e4
https://nvd.nist.gov/vuln/detail/CVE-2023-41080
https://github.com/apache/tomcat/commit/e3703c9abb8fe0d5602f6ba8a8f11d4b6940815a
