NCSC-2020-0418 [1.03] [M/M] Kwetsbaarheid verholpen in Apache Tomcat

De ontwikkelaars van Apache Tomcat hebben een kwetsbaarheid verholpen die een kwaadwillende op afstand mogelijk in staat stelt willekeurige code uit te voeren onder de rechten van de applicatie. Dit is mogelijk indien:

de kwaadwillende de controle heeft over een bestand op de server;
gebruik wordt gemaakt van PersistenceManager in combinatie met een FileStore;
de PersistenceManager is geconfigureerd met sessionAttributeValueClassNameFilter=”null”, of gebruik maakt van een filter die te soepel is afgesteld;
de kwaadwillende de locatie op de server weet van het door hem of haar beheerde bestand.