Apache Tomcat 高危漏洞 CVE-2026-34487 泄露 Kubernetes 令牌，影响多个版本

Apache Tomcat 爆出高危安全漏洞，其云集群组件会将敏感的 Kubernetes 承载令牌（bearer token）写入日志文件。该漏洞被标记为 CVE-2026-34487，CVSS 评分为 7.5（高危级别），意味着攻击者一旦获取日志访问权限，便可窃取用于认证和授权的高权限令牌，进而可能接管或破坏相关的 Kubernetes 集群资源。

此漏洞影响范围广泛，波及 Apache Tomcat 的多个主要版本：从 11.0.0-M1 到 11.0.20，从 10.1.0-M1 到 10.1.53，以及从 9.0.13 到 9.0.116。这意味着大量使用这些版本进行容器化部署或云原生应用开发的企业面临直接风险。漏洞根源于“云集群成员资格”组件在处理信息时的设计缺陷，导致本应保密的认证令牌被意外记录。

Apache 软件基金会已发布修复版本（11.0.21, 10.1.54, 9.0.117），强烈建议所有受影响用户立即升级。对于无法立即升级的系统，管理员需严格审查和限制对 Tomcat 日志文件的访问权限，并监控异常日志读取行为。此漏洞凸显了在复杂云原生架构中，基础中间件的微小缺陷可能成为通往核心基础设施的致命后门，对依赖 Tomcat 和 Kubernetes 的云服务与数据中心构成持续的安全压力。