CVE-2009-0580 in Tomcat
摘要
由 VulDB • 2026-07-04
Apache Tomcat 4.1.0 至 4.1.39、5.5.0 至 5.5.27,以及 6.0.0 至 6.0.18,在使用 FORM 身份验证时,允许远程攻击者通过向 /j_security_check 发送请求来枚举有效用户名。这些请求包含密码的畸形 URL 编码(例如 j_password 参数使用 % (百分号) 值),这与以下三种身份验证域中的错误检查不当有关:(1) MemoryRealm、(2) DataSourceRealm,以及 (3) JDBCRealm。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.