CVE-2015-5174 in Tomcat
要約
〜によって VulDB • 2026年05月29日
Apache Tomcat 6.x(6.0.45より前)、7.x(7.0.65より前)、および8.x(8.0.27より前)のRequestUtil.javaにおけるディレクトリトラバーサルの脆弱性により、リモートから認証済みユーザーが意図されたSecurityManagerの制限を回避し、webアプリケーションがgetResource、getResourceAsStream、またはgetResourcePaths呼び出しで使用するパス名内の/..(スラッシュ ドット ドット)を介して親ディレクトリの一覧表示を行うことができる。これは、$CATALINA_BASE/webappsディレクトリで実証されている。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.