La fondation Apache a publié les versions Tomcat 9.0.1 and 8.5.23 pour corriger des vulnérabilités dans les versions précdente du logiciel. L'exploitation de ces vulnérabilités permet aux attaquants de prendre le contrôle des systèmes affectés.
Facteur de diminution risque: il faut changer une option par défaut du serveur (Activer le HTTP PUTs - courant) pour être vulnérable.
L'attaquant peut téléverser une page avec du code serveur JAVA (page JSP) qui pourra être exécutée par simple requête.
Les détails de la vulnérabilité ont été publiés dans la mailing list Apache et se retouvent dans la CVE--2017-12617.
