漏洞信息
# N/A
## 概述
Apache Tomcat JK (mod_jk) Connector中的Apache Web Server (httpd) 特定代码在规范化请求路径并将其与URI-worker映射进行匹配时,未能正确处理某些边缘情况。这可能导致通过反向代理意外暴露应用功能或绕过httpd的访问控制。
## 影响版本
Apache Tomcat JK (mod_jk) Connector 1.2.0 到 1.2.44
## 细节
Tomcat支持的URL若仅有一部分通过httpd公开,特定构造的请求可能会暴露原本不应通过反向代理访问到的应用功能。在某些配置下,特定构造的请求可能会绕过httpd中配置的访问控制。虽然该问题与CVE-2018-1323存在部分重叠,但二者并不完全相同。
## 影响
如果Tomcat支持的URL仅有一部分通过httpd公开,可能会意外暴露应用功能给客户端,也可能会导致访问控制被绕过。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
The Apache Web Server (httpd) specific code that normalised the requested path before matching it to the URI-worker map in Apache Tomcat JK (mod_jk) Connector 1.2.0 to 1.2.44 did not handle some edge cases correctly. If only a sub-set of the URLs supported by Tomcat were exposed via httpd, then it was possible for a specially constructed request to expose application functionality through the reverse proxy that was not intended for clients accessing the application via the reverse proxy. It was also possible in some configurations for a specially constructed request to bypass the access controls configured in httpd. While there is some overlap between this issue and CVE-2018-1323, they are not identical.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Tomcat JK (mod_jk) Connector 路径遍历漏洞
漏洞描述信息
Apache Tomcat JK(mod_jk)Connector是美国阿帕奇(Apache)软件基金会的一款为Apache或IIS提供连接后台Tomcat的模块,它支持集群和负载均衡等。 Apache Tomcat JK(mod_jk)Connector 1.2.0版本至1.2.44版本中存在目录遍历漏洞。攻击者可利用该漏洞造成信息泄露。
CVSS信息
N/A
漏洞类别
路径遍历