¿Por qué CVE-2017-12617 se considera una vulnerabilidad?

2

CVE-2017-12617 es una vulnerabilidad de ejecución remota de código a través de la carga JSP. Requiere que el método HTTP PUT esté habilitado en una instancia de Tomcat vulnerable.

¿Por qué se considera esto una vulnerabilidad y un CVE digno? ¿La activación de HTTP PUT en los servidores web no implica que los archivos puedan cargarse en el servidor, que en consecuencia se procesan / ejecutan en el contexto del servidor web cuando se solicita?

    
pregunta Onderbetaald 17.11.2017 - 13:24
fuente

1 respuesta

2

Desde el CVE

  

Este JSP podría solicitarse y cualquier código que contenga sería ejecutado por el servidor .

PUT sugiere que se colocará un recurso. Pero a menos que la API lo indique explícitamente, no implica que cambiará el comportamiento de ejecución del servidor.

    
respondido por el Hector 17.11.2017 - 13:52
fuente

Lea otras preguntas en las etiquetas