Perché CVE-2017-12617 è considerato vulnerabile?

Naviga le tue risposte
2

CVE-2017-12617 è una vulnerabilità legata all'esecuzione di codice in modalità remota tramite caricamento JSP. Richiede che il metodo HTTP PUT sia abilitato su un'istanza tomcat vulnerabile.

Perché questa è considerata una vulnerabilità e CVE degna? Non abilitare HTTP PUT sui server Web implica sempre che i file possano essere caricati sul server, che di conseguenza vengono elaborati / eseguiti nel contesto del server Web quando richiesto?

    
posta Onderbetaald 17.11.2017 - 13:24
fonte

1 risposta

2

Dal CVE

This JSP could then be requested and any code it contained would be executed by the server.

PUT suggerisce che verrà posizionata una risorsa. Tuttavia, a meno che l'API non indichi esplicitamente che ciò non implichi, cambierà il comportamento di esecuzione del server.

    
risposta data 17.11.2017 - 13:52
fonte

Leggi altre domande sui tag

SSL è ancora sicuro se le impostazioni SSL in IIS sono impostate in modo da ignorarle o accettarle solo? Come posso cancellare i messaggi di Telegram dal loro server? [chiuso]