Apache Tomcat:使用 Jakarta 身份验证 API 时绕过身份验证(CVE-2024-52316)
CVE编号
CVE-2024-52316
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-18
漏洞描述
Apache Tomcat存在一个未检查的错误条件漏洞。如果Tomcat配置为使用自定义的Jakarta认证(以前称为JASPIC)ServerAuthContext组件,并且该组件在认证过程中可能会抛出一个异常而没有明确设置HTTP状态来指示失败,那么认证可能不会失败,从而允许用户绕过认证过程。目前没有已知的Jakarta认证组件会出现这种情况。此问题影响Apache Tomcat版本:从11.0.0-M1到11.0.0-M26,从10.1.0-M1到10.1.30,从9.0.0-M1到9.0.95。建议用户升级到版本11.0.0、10.1.31或9.0.96,这些版本已修复此问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论