CVE-2023-28708— Apache Tomcat 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2023-28708の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Apache Tomcat: JSESSIONID Cookie missing secure attribute in some configurations
ソース: NVD (National Vulnerability Database)
脆弱性説明
When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1.5, 9.0.0-M1 to 9.0.71 and 8.5.0 to 8.5.85 did not include the secure attribute. This could result in the user agent transmitting the session cookie over an insecure channel. Older, EOL versions may also be affected.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
凭证传输未经安全保护
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Apache Tomcat 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 存在安全漏洞,该漏洞源于用户代理能通过不安全的通道传输会话 cookie导致信息泄露。以下产品和版本收到影响:
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Apache Software Foundation | Apache Tomcat | 11.0.0-M1 ~ 11.0.0-M2 | - |
II. CVE-2023-28708の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2023-28708のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: Apache Tomcat
- CVE-2026-34500
Apache Tomcat: OCSP checks sometimes soft-fail with FFM even - CVE-2026-34487
Apache Tomcat: Cloud membership for clustering component exp - CVE-2026-34486
Apache Tomcat: Fix for CVE-2026-29146 allowed bypass of Encr - CVE-2026-34483
Apache Tomcat: Incomplete escaping of JSON access logs - CVE-2026-32990
Apache Tomcat: Fix for CVE-2025-66614 is incomplete
同じベンダー: Apache Software Foundation
- CVE-2026-39816
Apache NiFi: Missing Execute Code Required Permission on Tin - CVE-2026-25199
Apache CloudStack: Proxmox Extension Allows Unauthorized Cro - CVE-2026-25077
Apache CloudStack: Unauthenticated Command Injection in Dire - CVE-2025-69233
Apache CloudStack: Domain/account resources limits not honor - CVE-2025-66467
Apache CloudStack: MinIO policy remains intact on bucket del
同じ弱点: CWE-523
- CVE-2026-23635
Kiteworks Secure Data Forms has a potential Unprotected Tran - CVE-2025-64309
Brightpick Mission Control / Internal Logic Control Unprotec - CVE-2025-64308
Brightpick Mission Control / Internal Logic Control Unprotec - CVE-2025-41705
Phoenix Contact: WebSocket Message Interception Leaks Webfro - CVE-2025-57800
Audiobookshelf vulnerable to OIDC token exfiltration and acc
V. CVE-2023-28708へのコメント
まだコメントはありません