Apache Tomcat 9.0.0.M1-9.0.0;Apache Tomcat 8.5.0-8.5.22;Apache Tomcat 8.0.0.RC1-8.0.46;Apache Tomcat 7.0.0-7.0.81 存在任意文件写漏洞该漏洞。是由于参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件，一旦允许上传jsp文件，就可以在服务器上执行任意命令。

将Tomcat更新到该漏洞被修复的版本（例如，Tomcat 8.5.23）只能防止攻击者上传JSP。但是readonlyinit-param不应该将false首先设置。如果此参数保留到默认（true），则攻击者无法上传文件。另外，当然也可以在前端（例如WAF）上阻止PUT和DELETE请求。