Уязвимость обхода аутентификации с использованием альтернативного пути или канала в Apache Tomcat. При использовании PreResources или PostR…

Уязвимость обхода аутентификации с использованием альтернативного пути или канала в Apache Tomcat. При использовании PreResources или PostResources, смонтированных не в корне веб-приложения, было возможно получить доступ к этим ресурсам через неожиданный путь. Этот путь, скорее всего, не был защищен теми же ограничениями безопасности, что и ожидаемый путь, что позволяло обойти эти ограничения. Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.7, с 10.1.0-M1 по 10.1.41, с 9.0.0.M1 по 9.0.105. Следующие версии были признаны устаревшими на момент создания CVE, но известно, что они также затронуты: с 8.5.0 по 8.5.100. Другие старые версии, которые были признаны устаревшими, также могут быть затронуты. Пользователям рекомендуется обновиться до версии 11.0.8, 10.1.42 или 9.0.106, которые устраняют проблему [1]. Источники: - [1] https://lists.apache.org/thread/m66cytbfrty9k7dc4cg6tl1czhsnbywk