Apache Tomcat 10.1.8 嵌入组件爆出 33 项漏洞，最高严重性达 9.8 分

Apache Tomcat 10.1.8 版本的核心嵌入组件 `tomcat-embed-jasper` 被曝存在 33 项安全漏洞，其中最高严重性评分为 9.8 分（CVSS v3.1），属于严重级别。这一发现直接指向了广泛使用的 Java Web 应用服务器基础架构中的关键安全风险。漏洞报告来自自动化依赖扫描工具，显示该问题库文件位于项目的 Gradle 构建缓存路径中。

受影响的库为 `tomcat-embed-jasper-10.1.8.jar`，它是 Apache Tomcat 官方发行版的一部分，用于提供 JSP 编译和渲染功能。在已列出的 23 项初步发现中，包含了编号为 CVE-2024-50379 的严重漏洞。虽然 GitHub 界面因内容限制仅显示了部分结果，但完整的 33 项漏洞清单表明该组件存在广泛的安全缺陷。目前，漏洞的利用成熟度、EPSS（漏洞利用预测评分系统）分数以及具体的修复版本信息尚未完全披露。

此事件对依赖 Tomcat 10.1.8 版本构建和部署 Java Web 应用程序的开发团队与组织构成了直接压力。由于 Tomcat 是众多企业级应用和云服务的基础运行时环境，这些未修复的漏洞可能导致严重的远程代码执行、权限提升或拒绝服务风险。安全团队需要立即审查其项目依赖，确认是否使用了这个易受攻击的版本，并密切关注 Apache 官方发布的安全更新和修复补丁。