風(fēng)險(xiǎn)分析：

根據(jù)分析，Apache Tomcat AJP協(xié)議不安全權(quán)限控制可通過(guò)AJP Connector直接操作內(nèi)部數(shù)據(jù)從而觸發(fā)文件包含漏洞，惡意攻擊者可以通過(guò)該協(xié)議端口（默認(rèn)8009）提交攻擊代碼，成功利用漏洞能獲取目標(biāo)系統(tǒng)敏感文件，或在控制可上傳文件的情況下執(zhí)行惡意代碼獲取管理權(quán)限。

詳情參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

風(fēng)險(xiǎn)截圖：

風(fēng)險(xiǎn)等級(jí):

高危

安全建議:

臨時(shí)緩解措施：

臨時(shí)禁用AJP協(xié)議端口，在conf/server.xml配置文件中注釋掉<Connector port=8009 protocol=AJP/1.3 redirectPort=8443 />

官方修復(fù)措施：

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)盡快升級(jí)版本進(jìn)行防護(hù)，官方下載鏈接：

版本號(hào)                   下載地址

Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51  http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31  http://tomcat.apache.org/download-90.cgi