Apache Tomcat 高危漏洞 CVE-2026-34487 泄露 Kubernetes 令牌，影响多个版本

Apache Tomcat 云集群组件中的一个高危漏洞，正在将敏感的 Kubernetes 承载令牌泄露到日志文件中。该漏洞被标记为 HIGH 严重级别，CVSS 评分为 7.5，可能使攻击者获得对容器编排环境的未授权访问权限。这一信息泄露问题直接威胁到依赖 Tomcat 进行容器化部署的云原生应用安全。

该漏洞影响范围广泛，波及 Apache Tomcat 的多个主要版本：从 11.0.0-M1 到 11.0.20，从 10.1.0-M1 到 10.1.53，以及从 9.0.13 到 9.0.116。具体而言，组件 `org.apache.tomcat.embed:[email protected]` 已被确认为存在漏洞的依赖项。Apache 基金会已发布安全公告，建议所有受影响用户立即升级至已修复的版本：11.0.21、10.1.54 或 9.0.117。

此漏洞的公开披露通过 OSS 安全邮件列表和 Apache 官方线程进行，凸显了其在开源安全社区中的紧迫性。对于运行在 Kubernetes 环境中的 Tomcat 实例，未能及时修补可能导致集群内部权限提升和横向移动的风险。系统管理员和 DevOps 团队需优先评估其部署环境，并应用补丁以缓解潜在的数据泄露和系统入侵威胁。