CVE-2021-24122 Apache Tomcat信息披露严重性:重要卖方:Apache Software Foundation受影响的版本:Apache Tomcat 10.0.0-M1至10.0.0-M9Apache Tomcat 9.0.0.M1至9.0.39Apache Tomcat 8.5.0至8.5.59Apache Tomcat 7.0.0至7.0.106描述:使用NTFS文件系统从网络位置提供资源时,可以绕过安全性约束和/或在某些配置中查看JSP的源代码。根本原因是JRE API File.getCanonicalPath()的意外行为,该行为反过来是由于Windows API(FindFirstFileW)在某些情况下的行为不一致引起的。缓解措施:受影响版本的用户应应用以下缓解措施之一:-升级升级到Apache Tomcat 10.0.0-M10或更高版本-升级到Apache Tomcat 9.0.40或更高版本-升级到Apache Tomcat 8.5.60或更高版本-升级到Apache Tomcat 7.0.107或更高版本信誉:此问题已由Ilja Brander确认。 :2021-01-14原始咨询参考:[1] https://tomcat.apache.org/security-10.html[2] https://tomcat.apache.org/security-9.html[3] https: //tomcat.apache.org/security-8.html[4] https://tomcat.apache.org/security-7.html