Descripción: Es posible acceder a la aplicación web Manager del servidor Tomcat utilizando un conjunto de credenciales conocidas. Un atacante remoto puede explotar esta vulnerabiliad para instalar una aplicación maliciosa en el servidor y ejecutar código arbitrario con los privilegios de Tomcat (normalmente SYSTEM en Windows o la cuenta ‘tomcat’ sin privilegios en Unix).

CVE: N/A
Factor de Riesgo: Critical
Valor CVSS Base: 10

Solución: Edite el archivo asociado ‘tomcat-users.xml‘ y cambie o elimine el conjunto de credenciales asociadas a web Manager.

Referencias:
https://tomcat.apache.org/tomcat-7.0-doc/manager-howto.html
http://blog.opensecurityresearch.com/2012/09/manually-exploiting-tomcat-manager.html

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like