Множественные уязвимости в Apache Tomcat

Уязвимости позволяют удаленному пользователю скомпрометировать систему и раскрыть важные данные.

1) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может повторно использовать ID сессии для осуществления атаки типа "фиксация сессии" и похищения сессии пользователя.

2) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь с доступом к приложениям Manager или Host Manager может получить CSRF-токен во время перенаправления.

3) Уязвимость существует из-за неуточненной ошибки. Приложение может загрузить внутренний сервлет StatusManagerServlet и получить список всех развернутых приложений и список строк запросов HTTP для всех обрабатываемых запросов.

4) Уязвимость существует из-за неуточненной ошибки. Удаленный пользователь может обойти ограничения безопасности в компоненте Security Manager и выполнить произвольный код.

5) Уязвимость существует из-за неуточненной ошибки. Web-приложение может получить доступ к публичному методу ResourceLinkFactory.setGlobalContext() и внедрить вредоносный глобальный контекст для создания помех в работе прочих web-приложений или раскрытия данных прочих web-приложений.