CSIRT Toscana Vulnerabilità in Apache Tomcat (AL02/240123/CSIRT-ITA)
Data:
23 Gennaio 2024 09:28
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.
Sintesi
Rilevata una vulnerabilità di sicurezza – già sanata dal vendor – nel noto server web open source sviluppato da Apache Software Foundation. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un attaccante remoto l’accesso a informazioni riservate tramite richieste POST opportunamente predisposte.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (63,46/100)1.
Tipologia
- Information Disclosure
Prodotti e versioni affette
Apache Tomcat
- 9.x, versioni dalla 9.0.0-M11 alla 9.0.43
- 8.x, versioni 8.5.7 alla 8.5.63
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.