Уязвимость сервера приложений Apache Tomcat связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, если используется обработчик JmxRemoteLifecycleListener и нарушитель может получить доступ к портам JMX. Эта проблема существует из-за того, что обработчик не был обновлен в соответствии с уязвимостью CVE-2016-3427 патча Oracle, которая затрагивала учетные типы.
Использование рекомендаций: http://seclists.org/oss-sec/2016/q4/502
http://svn.apache.org/viewvc?view=revision&revision=1767644
http://svn.apache.org/viewvc?view=revision&revision=1767656
http://svn.apache.org/viewvc?view=revision&revision=1767676
http://svn.apache.org/viewvc?view=revision&revision=1767684
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.securityfocus.com/bid/94463
| Балл | 7.5 — высокая опасность |