VULHUB ™

IBM Websphere应用服务器以Java和Servlet引擎为基础，支持多种HTTP服务，可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。 Websphere应用服务器在特定配置情况下处理用户请求存在问题，远程攻击者可能利用此漏洞获取JSP源码。 如果WebSphere应用服务器被配置为以下情况之一的话： 1 从Application WAR生成JSP；ibm.web.ext.xm文件中fileServingEnabled设置为true，可以访问war目录下的JSP文件 2 从Extended Document Root生成JSP； ibm.web.ext.xmi文件中fileServingEnabled设置为true，可以访问extendedDocumentRoot目录下的JSP文件 3 与1中所述配置相同，但启用了servlet缓存，配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet 4 与2中所述配置相同，但启用了servlet缓存，配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet 则WebSphere应用服务器在处理JSP URL中的特殊字符时可能会泄漏JSP的源码而不是JSP页面。

IBM Websphere应用服务器以Java和Servlet引擎为基础，支持多种HTTP服务，可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。 Websphere应用服务器在特定配置情况下处理用户请求存在问题，远程攻击者可能利用此漏洞获取JSP源码。 如果WebSphere应用服务器被配置为以下情况之一的话： 1 从Application WAR生成JSP；ibm.web.ext.xm文件中fileServingEnabled设置为true，可以访问war目录下的JSP文件 2 从Extended Document Root生成JSP； ibm.web.ext.xmi文件中fileServingEnabled设置为true，可以访问extendedDocumentRoot目录下的JSP文件 3 与1中所述配置相同，但启用了servlet缓存，配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet 4 与2中所述配置相同，但启用了servlet缓存，配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet 则WebSphere应用服务器在处理JSP URL中的特殊字符时可能会泄漏JSP的源码而不是JSP页面。