[漏洞预警]CVE-2020-1938(Tomcat文件包含漏洞)

一、漏洞概述    2月20日，国家信息安全漏洞共享平台（CNVD）发布了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938），在默认情况下Tomcat会开启AJP服务并绑定至0.0.0.0/0。Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造恶意的AJP请求，读取服务器目录下的任意文件。    目前互联网上已有公开的批量利用脚本，请各位用户尽快针对该漏洞进行修复。二、漏洞复现    安全实验室成员对exp验证后发现可对开启AJP协议端口，且在影响范围内的Tomcat服务器上的任意文件进行读取。       同时截止至2020年2月20日凌晨，已发现互联网上公开利用的远程命令执行exp。三、漏洞危害    当Tomcat服务器开启 ………………………………