【漏洞预警】Apache Tomcat 逻辑缺陷漏洞CVE-2025-31651

cexlife 飓风网络安全 2025-04-29 14:23

漏洞描述:

Tomcat是一个开源的、轻量级的Web应用服务器和Servlet容器,它由Apache软件基金会下的Jakarta项目开发,是目前最流行的 Java Web服务器之一,Apache Tomcat中存在的转义、元字符或控制序列处理不当漏洞,对于一小部分不太可能的重写规则配置,精心构造的请求可能绕过某些重写规则,如果这些重写规则有效地强制执行了安全约束,则这些约束可能会被绕过。

受影响版本:

Apache Tomcat < 11.0.6

Apache Tomcat < 10.1.40

Apache Tomcat < 9.0.104

修复方案：

升级到Apache Tomcat 11.0.6

升级到Apache Tomcat 10.1.40

升级到Apache Tomcat 9.0.104

参考链接:

https://www.openwall.com/lists/oss-security/2025/04/28/3