Informacja o luce (CVE-2020-9484) w Apache Tomcat, otwartej implementacji technologii Java Servlet, JavaServer Pages, Java Expression Language i Java WebSocket. Problem umożliwia osiągnięcie wykonania kodu na serwerze poprzez wysłanie specjalnie zaprojektowanego żądania. Luka została usunięta w wersjach Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 i 7.0.104.
Aby skutecznie wykorzystać lukę, osoba atakująca musi mieć możliwość kontrolowania zawartości i nazwy pliku na serwerze (np. czy aplikacja ma możliwość pobierania dokumentów lub obrazów). Ponadto atak jest możliwy tylko na systemach korzystających z PersistenceManager z magazynem FileStore, w ustawieniach których parametr sessionAttributeValueClassNameFilter jest ustawiony na „null” (domyślnie, jeśli nie jest używany SecurityManager) lub wybrany jest słaby filtr pozwalający obiekt deserializacja. Osoba atakująca musi także znać lub odgadnąć ścieżkę do kontrolowanego przez siebie pliku w zależności od lokalizacji FileStore.
Źródło: opennet.ru