Apache Tomcat 漏洞 CVE-2025-66614：客户端证书验证可被绕过，影响多个版本

Apache Tomcat 核心组件存在一个中等严重性的安全漏洞，可导致客户端证书验证被绕过。该漏洞被追踪为 CVE-2025-66614（亦作 GHSA-fpj8-gq4v-p354），其 CVSS v3.1 评分为 9.1（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N），表明其具有高机密性和高完整性影响。漏洞根源在于输入验证不当，具体表现为 Tomcat 未能验证通过 SNI（服务器名称指示）扩展提供的主机名是否与 HTTP 主机头字段中提供的主机名一致。

此漏洞影响范围广泛，涵盖 Apache Tomcat 的多个活跃版本：从 11.0.0-M1 到 11.0.14，从 10.1.0-M1 到 10.1.49，以及从 9.0.0-M1 到 9.0.112。值得注意的是，在 CVE 创建时已结束生命周期（EOL）的版本 8.5.0 至 8.5.100 也被确认受影响，但更早的 EOL 版本不受影响。该漏洞被归类为 CWE-20（输入验证不当）和 CWE-295（证书验证不当）。

对于依赖 Tomcat 处理 TLS 连接和客户端证书认证的系统，此漏洞构成了直接风险。攻击者可能利用此缺陷，通过操纵 SNI 和 Host 头信息，绕过预期的客户端证书验证机制，从而可能获得未授权的访问权限。鉴于 Tomcat 在 Java Web 应用部署中的广泛使用，所有运行受影响版本的组织应立即审查其部署，并计划应用 Apache 官方发布的相应安全更新。