Ilja Brander

**Nome do software vulnerável e versões afetadas** Versões do Apache Tomcat de 7.0.0 a 7.0.106 Versões do Apache Tomcat de 8.5.0 a 8.5.59 Versões do Apache Tomcat de 9.0.0.M1 a 9.0.39 Versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M9 **Descrição** Ao servir recursos a partir de um local de rede usando o sistema de arquivos NTFS, o Apache Tomcat estava suscetível à divulgação do código-fonte JSP em algumas configurações. A causa principal era o comportamento inesperado da API JRE `File.getCanonicalPath()`, que, por sua vez, era causado pelo comportamento inconsistente da API do Windows `(FindFirstFileW)` em algumas circunstâncias. **Recomendações** Para as versões do Apache Tomcat 7.0.0 a 7.0.106, atualize para uma versão que inclua a correção para este problema. Para as versões do Apache Tomcat 8.5.0 a 8.5.59, atualize para uma versão que inclua a correção para este problema. Para as versões do Apache Tomcat 9.0.0.M1 a 9.0.39, atualize para uma versão que inclua a correção para este problema. Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.0-M9, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso a arquivos JSP servidos a partir de locais de rede que utilizem o sistema de arquivos NTFS até que um patch esteja disponível.