反馈已提交
网络繁忙
安全公告编号
危害评级
影响版本
CVE-2020-9484
高危
10.0.0-M1 ~ 10.0.0-M4
9.0.0.M1 ~ 9.0.34
8.5.0 ~ 8.5.54
7.0.0 ~ 7.0.103
当 Tomcat 使用了自带 session 同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞。
攻击者通过精心构造的数据包, 可以对使用了自带 session 同步功能的 Tomcat 服务器进行攻击。
FineReport 默认未配置该功能,用户需要确认Tomcat服务器是否配置了该功能。
升级到 Apache Tomcat 10.0.0-M5 及以上版本
升级到 Apache Tomcat 9.0.35 及以上版本
升级到 Apache Tomcat 8.5.55 及以上版本
升级到 Apache Tomcat 7.0.104 及以上版本
禁止使用Session持久化功能FileStore。
售前咨询电话
400-811-8890转1
在线技术支持
热线电话:400-811-8890转2
总裁办24H投诉
热线电话:173-1278-1526
文 档反 馈
鼠标选中内容,快速反馈问题
鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。
不再提示
10s后关闭