Apache Tomcat 高危漏洞 GHSA-gqp3-2cvr-x8m3：影响广泛版本，可导致服务中断

Apache Tomcat 核心组件被曝存在一个高危漏洞，编号为 GHSA-gqp3-2cvr-x8m3（CVE-2025-48989）。该漏洞被归类为“资源关闭或释放不当”，CVSS v3.1 评分为 7.5 分（高危），攻击者无需任何权限即可通过网络远程触发，可能导致服务中断。这一缺陷使 Tomcat 容易受到一种特定的“强制重置”攻击。

该漏洞影响范围极广，波及 Tomcat 的三个主要长期支持分支：从 11.0.0-M1 到 11.0.9 的所有版本，从 10.1.0-M1 到 10.1.43 的所有版本，以及从 9.0.0.M1 到 9.0.107 的所有版本。这意味着目前绝大多数在用的 Tomcat 服务器都可能面临风险。Apache 官方已发布修复版本，强烈建议所有用户立即升级至 11.0.10、10.1.44 或 9.0.108 中的任一版本。

作为全球使用最广泛的 Java Web 应用服务器之一，Tomcat 的此漏洞对依赖其构建的无数企业级应用和云服务构成了直接威胁。虽然漏洞主要影响可用性（A:H），不涉及信息泄露或权限提升，但在关键业务场景下，服务中断可能引发连锁反应。开发者和运维团队需紧急审查其依赖项，特别是使用 `org.apache.tomcat.embed:[email protected]` 等受影响组件的项目，并尽快应用安全补丁。