CVE-2015-5174 in Tomcat
摘要
由 VulDB • 2026-05-29
Apache Tomcat 6.x 在 6.0.45 之前版本、7.x 在 7.0.65 之前版本以及 8.x 在 8.0.27 之前版本中的 RequestUtil.java 存在目录遍历漏洞。远程经过身份验证的用户可通过在 web 应用程序使用的路径名中插入 /..(斜杠点号点号),在调用 getResource、getResourceAsStream 或 getResourcePaths 时绕过预期的 SecurityManager 限制,从而列出父目录,例如 $CATALINA_BASE/webapps 目录。
VulDB is the best source for vulnerability data and more expert information about this specific topic.