Tomcat — контейнер сервлетов с открытым исходным кодом
Релизный цикл, информация об уязвимостях
График релизов
Количество 1 262
BDU:2016-00611
Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю определить существование каталога
BDU:2016-00614
Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю обойти ограничения доступа и выполнить чтение произвольных HTTP-запросов
BDU:2016-00541
Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю обойти ограничения проверки подлинности
BDU:2016-00612
Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю получить доступ к веб-сессиям
BDU:2016-00615
Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код в привилегированном контексте
CVE-2016-0763
The setGlobalContext method in org/apache/naming/factory/ResourceLinkFactory.java in Apache Tomcat 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M3 does not consider whether ResourceLinkFactory.setGlobalContext callers are authorized, which allows remote authenticated users to bypass intended SecurityManager restrictions and read or write to arbitrary application data, or cause a denial of service (application disruption), via a web application that sets a crafted global context.
CVE-2016-0706
Apache Tomcat 6.x before 6.0.45, 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 does not place org.apache.catalina.manager.StatusManagerServlet on the org/apache/catalina/core/RestrictedServlets.properties list, which allows remote authenticated users to bypass intended SecurityManager restrictions and read arbitrary HTTP requests, and consequently discover session ID values, via a crafted web application.
CVE-2015-5351
The (1) Manager and (2) Host Manager applications in Apache Tomcat 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 establish sessions and send CSRF tokens for arbitrary new requests, which allows remote attackers to bypass a CSRF protection mechanism by using a token.
CVE-2015-5346
Session fixation vulnerability in Apache Tomcat 7.x before 7.0.66, 8.x before 8.0.30, and 9.x before 9.0.0.M2, when different session settings are used for deployments of multiple versions of the same web application, might allow remote attackers to hijack web sessions by leveraging use of a requestedSessionSSL field for an unintended request, related to CoyoteAdapter.java and Request.java.
CVE-2015-5345
The Mapper component in Apache Tomcat 6.x before 6.0.45, 7.x before 7.0.68, 8.x before 8.0.30, and 9.x before 9.0.0.M2 processes redirects before considering security constraints and Filters, which allows remote attackers to determine the existence of a directory via a URL that lacks a trailing / (slash) character.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | BDU:2016-00611 Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю определить существование каталога | CVSS2: 5 | 40% Средний | почти 10 лет назад |
| BDU:2016-00614 Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю обойти ограничения доступа и выполнить чтение произвольных HTTP-запросов | CVSS2: 4 | 1% Низкий | почти 10 лет назад |
| BDU:2016-00541 Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю обойти ограничения проверки подлинности | CVSS2: 4 | 1% Низкий | почти 10 лет назад |
| BDU:2016-00612 Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю получить доступ к веб-сессиям | CVSS2: 6.8 | 36% Средний | почти 10 лет назад |
| BDU:2016-00615 Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код в привилегированном контексте | CVSS2: 6.5 | 8% Низкий | почти 10 лет назад |
 | CVE-2016-0763 The setGlobalContext method in org/apache/naming/factory/ResourceLinkFactory.java in Apache Tomcat 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M3 does not consider whether ResourceLinkFactory.setGlobalContext callers are authorized, which allows remote authenticated users to bypass intended SecurityManager restrictions and read or write to arbitrary application data, or cause a denial of service (application disruption), via a web application that sets a crafted global context. | CVSS3: 6.3 | 0% Низкий | почти 10 лет назад |
| CVE-2016-0706 Apache Tomcat 6.x before 6.0.45, 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 does not place org.apache.catalina.manager.StatusManagerServlet on the org/apache/catalina/core/RestrictedServlets.properties list, which allows remote authenticated users to bypass intended SecurityManager restrictions and read arbitrary HTTP requests, and consequently discover session ID values, via a crafted web application. | CVSS3: 4.3 | 1% Низкий | почти 10 лет назад |
| CVE-2015-5351 The (1) Manager and (2) Host Manager applications in Apache Tomcat 7.x before 7.0.68, 8.x before 8.0.31, and 9.x before 9.0.0.M2 establish sessions and send CSRF tokens for arbitrary new requests, which allows remote attackers to bypass a CSRF protection mechanism by using a token. | CVSS3: 8.8 | 6% Низкий | почти 10 лет назад |
| CVE-2015-5346 Session fixation vulnerability in Apache Tomcat 7.x before 7.0.66, 8.x before 8.0.30, and 9.x before 9.0.0.M2, when different session settings are used for deployments of multiple versions of the same web application, might allow remote attackers to hijack web sessions by leveraging use of a requestedSessionSSL field for an unintended request, related to CoyoteAdapter.java and Request.java. | CVSS3: 8.1 | 36% Средний | почти 10 лет назад |
| CVE-2015-5345 The Mapper component in Apache Tomcat 6.x before 6.0.45, 7.x before 7.0.68, 8.x before 8.0.30, and 9.x before 9.0.0.M2 processes redirects before considering security constraints and Filters, which allows remote attackers to determine the existence of a directory via a URL that lacks a trailing / (slash) character. | CVSS3: 5.3 | 40% Средний | почти 10 лет назад |
Уязвимостей на страницу