【漏洞通告】Apache Tomcat Session 反序列化远程代码执行漏洞（CVE-2020-9484）通告

通告编号:NS-2020-00332020-05-21TAG：Tomcat、远程代码执行、CVE-2020-9484漏洞危害：攻击者利用此漏洞，可实现远程代码执行。版本：1.01漏洞概述北京时间5月20日，Apache官方发布安全通告修复了Apache Tomcat Session 反序列化远程代码执行漏洞（CVE-2020-9484），如果使用了Tomcat的session持久化功能，不安全的配置将导致攻击者可以发送恶意请求执行任意代码，建议相关用户采取措施进行防护。成功利用此漏洞需要同时满足以下4个条件：1）攻击者能够控制服务器上文件的内容和文件名称；2）服务器PersistenceManager配置中使用了FileStore；3）PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”，或者过滤器不够严格，导致允许攻击者提供反序列化数据的对象；4）攻击者知道使用的F ………………………………