Sicherheitslücken in Apache Tomcat Manager

Eingaben in die Parameter "sort" und "orderBy" werden in sessionsList.jsp nicht ausreichend überprüft, bevor diese an den Anwender zurück gehen. Somit lässt sich unter Umständen beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen.

Betroffen sind alle Versionen zwischen 6.0.12 bis 6.0.29 und 7.0.0 bis 7.0.4. Die Sicherheitslücken sind im SVN-Repository bereits ausgemerzt. (jdo)