Apache Tomcat 高危漏洞 CVE-2026-29146：默认配置下的加密拦截器存在填充预言机攻击风险

Apache Tomcat 的默认安全配置存在一个高危漏洞，可能允许攻击者通过填充预言机攻击（Padding Oracle Attack）解密敏感会话数据。该漏洞被标记为 CVE-2026-29146，CVSS 评分为 7.5（高危级别），影响范围极广，几乎覆盖了当前所有主流 Tomcat 版本。

具体而言，该漏洞存在于 Tomcat 的 EncryptInterceptor 组件中。当使用默认配置时，攻击者可以利用此漏洞，通过分析加密数据的填充错误响应，逐步推导出加密密钥或直接解密数据。受影响的版本包括 Tomcat 11.0.0-M1 至 11.0.18、10.0.0-M1 至 10.1.52、9.0.13 至 9.0.115、8.5.38 至 8.5.100 以及 7.0.100 至 7.0.109。这意味着大量使用默认设置部署的 Java Web 应用服务器面临数据泄露风险。

Apache 软件基金会已发布安全更新，建议所有用户立即升级至修复版本：Tomcat 11.0.19、10.1.53 或 9.0.116。对于无法立即升级的系统，管理员需要审查并修改 EncryptInterceptor 的配置以缓解风险。此漏洞的公开披露可能促使针对未打补丁的 Tomcat 实例的攻击尝试增加，对金融、电商和政府等依赖 Tomcat 处理敏感会话的行业构成直接威胁。