CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP UploadSeverity: ImportantVendor: The Apache Software FoundationVersions Affected:Apache Tomcat 9.0.0.M1 to 9.0.0Apache Tomcat 8.5.0 to 8.5.22Apache Tomcat 8.0.0.RC1 to 8.0.46Apache Tomcat 7.0.0 to 7.0.81Description:When running with  enabled (e.g. via setting the readonlyinitialisation parameter of the Default servlet to false) it waspossible to upload a JSP file to the server via a specially craftedrequest. This JSP could then be requested and any code it containedwould be executed by the server.Mitigation:Users of the affected versions should apply one of the followingmitigations:- Upgrade to Apache Tomcat 9.0.1 or later- Upgrade to Apache Tomcat 8.5.23 or later- Upgrade to Apache Tomcat 8.0.47 or later- Upgrade to Apache Tomcat 7.0.82 or laterCredit:This issue was first reported publicly followed by multiple reports tothe Apache Tomcat Security Team.History:2017-10-03 Original advisoryReferences:[1] http://tomcat.apache.org/security-9.html[2] http://tomcat.apache.org/security-8.html[3] http://tomcat.apache.org/security-7.html

看来需要关闭Tomcat的PUT选项