Apache Tomcat 安全约束绕过漏洞：HTTP/0.9 请求可规避 GET 方法限制

Apache Tomcat 多个版本存在一个输入验证不当漏洞，允许攻击者通过发送不符合规范的 HTTP/0.9 请求，绕过针对特定 URI 的安全约束。该漏洞的核心在于，Tomcat 未能将 HTTP/0.9 请求限制为仅使用 GET 方法。这意味着，如果一个安全约束配置为允许对某个 URI 的 HEAD 请求但拒绝 GET 请求，用户可以通过 HTTP/0.9 协议发送一个（规范无效的）HEAD 请求，从而绕过对 GET 请求的限制。

此漏洞影响 Apache Tomcat 的广泛版本范围：从 11.0.0-M1 到 11.0.14，从 10.1.0-M1 到 10.1.49，以及从 9.0.0.M1 到 9.0.112。官方安全公告（GHSA-qq5r-98hh-rxc9）已将其标识为 CVE-2026-24733，并归类为 CWE-20（输入验证不当）。尽管当前评估的严重性等级为“低”，但该漏洞暴露了底层协议处理逻辑中的潜在缺陷，可能被用于针对特定配置的 Web 应用程序进行权限绕过。

对于依赖 Tomcat 作为应用服务器的组织而言，此漏洞提示需要对安全配置进行复核，特别是那些依赖 HTTP 方法（如 GET、HEAD）进行细粒度访问控制的场景。虽然利用条件相对特定，但鉴于 Tomcat 在 Java Web 生态中的广泛部署，该问题仍可能对大量在线服务构成潜在风险。官方建议用户升级到已修复的版本。目前，更早的、已终止支持（EOL）的版本也被确认受到影响，这增加了遗留系统面临的风险。