关键信息 漏洞详情 CVE编号: CVE-2021-24122 产品: Apache Tomcat 漏洞类型: 信息泄露 严重性: 重要 影响版本 Apache Tomcat 10.0.0-M1 到 10.0.0-M9 Apache Tomcat 9.0.0.M1 到 9.0.39 Apache Tomcat 8.5.0 到 8.5.59 Apache Tomcat 7.0.0 到 7.0.106 漏洞描述 当从使用NTFS文件系统的网络位置提供资源时,可能存在绕过安全约束和/或查看JSP源代码的情况。根本原因是JRE API 在某些情况下的意外行为,这又由Windows API 的不一致行为引起。 缓解措施 受影响版本的用户应应用以下缓解措施之一: 升级到Apache Tomcat 10.0.0-M10或更高版本 升级到Apache Tomcat 9.0.40或更高版本 升级到Apache Tomcat 8.5.60或更高版本 升级到Apache Tomcat 7.0.107或更高版本 发现者 该问题由Ilya Brander发现。 时间线 2021-01-14: 原始公告 参考链接 1. Apache Tomcat 10.0安全公告 2. Apache Tomcat 9.0安全公告 3. Apache Tomcat 8.5安全公告 4. Apache Tomcat 7.0安全公告