Маълумот дар бораи осебпазирӣ (CVE-2020-9484) дар Apache Tomcat, татбиқи кушодаи Java Servlet, JavaServer Pages, Java Expression Language ва технологияҳои Java WebSocket. Мушкилот ба шумо имкон медиҳад, ки тавассути фиристодани дархости махсус тарҳрезишуда иҷрои кодро дар сервер ба даст оред. Ин осебпазирӣ дар версияҳои Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 ва 7.0.104 ҳал карда шудааст.
Барои бомуваффақият истифода бурдани осебпазирӣ, ҳамлакунанда бояд мундариҷа ва номи файлро дар сервер назорат кунад (масалан, агар барнома қобилияти зеркашии ҳуҷҷатҳо ё тасвирҳоро дошта бошад). Илова бар ин, ҳамла танҳо дар системаҳое имконпазир аст, ки PersistenceManager-ро бо нигаҳдории FileStore истифода мебаранд, ки дар танзимоти онҳо параметри sessionAttributeValueClassNameFilter ба "null" муқаррар карда шудааст (ба таври нобаёнӣ, агар SecurityManager истифода нашавад) ё филтри заиф интихоб шудааст, ки ба объект имкон медиҳад сериализатсия. Ҳамлагар инчунин бояд роҳи файлеро, ки ӯ идора мекунад, нисбат ба ҷойгиршавии FileStore донад ё тахмин кунад.
Манбаъ: opennet.ru