JVNDB-2023-001001
|
Apache Tomcat の JsonErrorReportValve におけるエスケープ処理不備の問題
|
|
Apache Tomcat の JsonErrorReportValve クラスでは、タイプ、メッセージあるいは説明の値をエスケープしません (CVE-2022-45143)。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat 10.1.0-M1 から 10.1.1 までのバージョン
- Apache Tomcat 9.0.40 から 9.0.68 までのバージョン
- Apache Tomcat 8.5.83
|
|
|
JsonErrorReportValve の出力のタイプ、メッセージあるいは説明の値は、ユーザが提供するデータから構築される場合があり、JSON 出力を無効化されたり、操作されたりする可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されているとのことです。
* Apache Tomcat 10.1.2 およびそれ以降のバージョン
* Apache Tomcat 9.0.69 およびそれ以降のバージョン
* Apache Tomcat 8.5.84 およびそれ以降のバージョン
|
|
Apache Software Foundation
|
|
|
|
- CVE-2022-45143
|
|
- JVN : JVNVU#92183876
|
|
|
