Apache Tomcat - Remote Code Execution (CVE-2017-12617)

When running Apache Tomcat versions 9.0.0.M1 to 9.0.0, 8.5.0 to 8.5.22, 8.0.0.RC1 to 8.0.46 and 7.0.0 to 7.0.81 with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default servlet to false) it was possible to upload a JSP file to the server via a specially crafted request. This JSP could then be requested and any code it contained would be executed by the server.

在运行 Apache Tomcat 版本 9.0.0.M1 至 9.0.0，8.5.0 至 8.5.22，8.0.0.RC1 至 8.0.46 以及 7.0.0 至 7.0.81 的过程中，若启用 HTTP PUT 功能（例如，通过将 Default Servlet 的 readonly 初始化参数设置为 false），则可通过精心构造的请求将 JSP 文件上传至服务器。随后，该 JSP 文件可以被请求，服务器将执行其中包含的任何代码。