Apache Tomcat 高危漏洞 GHSA-5j33-cvvr-w245：JSP编译中的TOCTOU竞争条件可导致远程代码执行

Apache Tomcat 多个版本中披露了一个高危安全漏洞（CVE-2024-50379），其核心是一个存在于JSP编译过程中的“检查时间与使用时间”（TOCTOU）竞争条件。在特定非默认配置下，当默认Servlet被启用为可写状态，且系统使用不区分大小写的文件系统时，攻击者可利用此漏洞实现远程代码执行（RCE）。该漏洞的CVSS v3.1评分为10.0（满分），评级为“高危”，影响范围广泛。

该漏洞影响Apache Tomcat 11.0.0-M1至11.0.1、10.1.0-M1至10.1.33、以及9.0.0.M1至9.0.97的所有版本。值得注意的是，在CVE创建时已结束生命周期（EOL）的版本8.5.0至8.5.100也被确认受此漏洞影响。漏洞的根本原因被归类为CWE-367，即与时间相关的竞争条件。此漏洞的触发条件较为特殊，需要管理员将默认Servlet配置为允许写入，这并非Tomcat的默认安全配置。

对于依赖Tomcat作为Java Web应用服务器的企业和开发者而言，此漏洞构成了严重威胁。虽然利用需要特定配置，但一旦满足条件，攻击者无需任何权限即可通过网络发起攻击，可能导致服务器被完全控制、数据泄露或服务中断。所有运行受影响版本的用户必须立即检查配置并升级至已修复的安全版本，以消除风险。此事件再次凸显了在复杂软件供应链中，及时更新和严格安全配置管理的重要性。