This page collects WhisperX intelligence signals tagged #Apache Tomcat. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
A high-severity vulnerability, CVE-2026-29146, has been identified in the widely used `tomcat-embed-core-9.0.19.jar` library, a core component of the Apache Tomcat server. The flaw was detected within the dependency chain of a Kotlin Spring project, specifically in the `cactus-plugin-ledger-connector-corda` module, rai...
Spring Boot 生态系统的核心 Web 启动器组件 `spring-boot-starter-web-4.0.4.jar` 被曝存在严重安全风险。安全扫描显示,该版本依赖的 Apache Tomcat 嵌入式核心库 `tomcat-embed-core-11.0.18.jar` 内嵌了 4 个安全漏洞,其中最高严重性评分为 9.1(CVSS 3.x),属于高危级别。这一发现直接指向了广泛使用的 Java 应用开发框架的供应链安全薄弱环节。 漏洞的具体路径已明确。问题库位于构建文件 `/build.gradle.kts` 的依赖链中,其物理路径为 Gradle 缓存目录下的特定 JAR 文件。该漏洞组件在 GitHub 项目...
Apache Tomcat 10.1.8 版本的核心嵌入组件 `tomcat-embed-jasper` 被曝存在 33 项安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3.1),属于严重级别。这一发现直接指向了广泛使用的 Java Web 应用服务器基础架构中的关键安全风险。漏洞报告来自自动化依赖扫描工具,显示该问题库文件位于项目的 Gradle 构建缓存路径中。 受影响的库为 `tomcat-embed-jasper-10.1.8.jar`,它是 Apache Tomcat 官方发行版的一部分,用于提供 JSP 编译和渲染功能。在已列出的 23 项初步发现中,包含了编号为 CVE-2024-50379 的严重漏洞。虽...
Apache Tomcat 核心组件 Catalina 中发现一个高危整数溢出漏洞,攻击者可利用此漏洞绕过多部分文件上传的大小限制,从而对服务器发起拒绝服务攻击。该漏洞被标记为 CVE-2025-52520,CVSS v3.1 评分为 7.5 分(高危),影响范围广泛。 该漏洞存在于 `org.apache.tomcat.embed:tomcat-embed-core` 组件中,影响 Apache Tomcat 的多个主要版本。具体而言,从 11.0.0-M1 到 11.0.8,从 10.1.0-M1 到 10.1.42,以及从 9.0.0.M1 到 9.0.106 的版本均受影响。值得注意的是,在 CVE 创建时已结束生命周期但...
A newly disclosed vulnerability in Apache Tomcat allows attackers to bypass critical security constraints, potentially gaining unauthorized access to protected server resources. The flaw, tracked as CVE-2025-49125 (GHSA-wc4r-xq3c-5cf3), is an authentication bypass issue that stems from how the software handles PreResou...
Apache Tomcat 及其原生库 Tomcat Native 中发现一个高危安全漏洞,攻击者可利用此漏洞绕过证书吊销检查。该漏洞被标记为 CVE-2026-24734,CVSS v3.1 评分为 7.5(高危),核心问题在于对在线证书状态协议(OCSP)响应的验证存在缺陷。当配置使用 OCSP 响应器时,相关组件未能完成对 OCSP 响应的验证或新鲜度检查,导致即使证书已被吊销,系统仍可能错误地将其视为有效。 此漏洞影响范围广泛。Apache Tomcat Native 的受影响版本包括 1.3.0 至 1.3.4,以及 2.0.0 至 2.0.11。Apache Tomcat 本身也受到影响,版本涵盖 11.0.0-M1 ...
Apache Tomcat 多个版本存在一个输入验证不当漏洞,允许攻击者通过发送不符合规范的 HTTP/0.9 请求,绕过针对特定 URI 的安全约束。该漏洞的核心在于,Tomcat 未能将 HTTP/0.9 请求限制为仅使用 GET 方法。这意味着,如果一个安全约束配置为允许对某个 URI 的 HEAD 请求但拒绝 GET 请求,用户可以通过 HTTP/0.9 协议发送一个(规范无效的)HEAD 请求,从而绕过对 GET 请求的限制。 此漏洞影响 Apache Tomcat 的广泛版本范围:从 11.0.0-M1 到 11.0.14,从 10.1.0-M1 到 10.1.49,以及从 9.0.0.M1 到 9.0.112。官方安...
A newly disclosed vulnerability in Apache Tomcat's CGI servlet could allow attackers to bypass critical security constraints. Tracked as CVE-2025-46701 (GHSA-h2fw-rfh5-95r3), the flaw stems from improper handling of case sensitivity in the pathInfo component of a URI mapped to the servlet. This weakness creates a poten...
Apache Tomcat 核心组件存在一个中等严重性的安全漏洞,可导致客户端证书验证被绕过。该漏洞被追踪为 CVE-2025-66614(亦作 GHSA-fpj8-gq4v-p354),其 CVSS v3.1 评分为 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N),表明其具有高机密性和高完整性影响。漏洞根源在于输入验证不当,具体表现为 Tomcat 未能验证通过 SNI(服务器名称指示)扩展提供的主机名是否与 HTTP 主机头字段中提供的主机名一致。 此漏洞影响范围广泛,涵盖 Apache Tomcat 的多个活跃版本:从 11.0.0-M1 到 11.0.14,从 10.1.0-M1 到 10...
A moderate-severity vulnerability in the Apache Tomcat installer for Windows exposes systems to potential local privilege escalation. The flaw, tracked as CVE-2025-49124 (GHSA-42wg-hm62-jcwg), is an untrusted search path issue. During installation, the installer calls the system utility `icacls.exe` without specifying ...
Apache Tomcat 核心组件中一个被标记为“高危”的安全漏洞(GHSA-27hp-xhwr-wr2m / CVE-2024-56337)已被披露。该漏洞源于一个时间检查与时间使用(TOCTOU)竞争条件问题,其根源在于对先前漏洞 CVE-2024-50379 的缓解措施不完整。这意味着,尽管已发布过补丁,但防御机制存在缺口,攻击者仍可能利用此缺陷。 该漏洞影响范围广泛,波及 Tomcat 的多个主要版本:从 11.0.0-M1 到 11.0.1,从 10.1.0-M1 到 10.1.33,以及从 9.0.0.M1 到 9.0.97。具体而言,在运行于不区分大小写的文件系统上,且默认 Servlet 的写入功能被启用(即 `...
Apache Tomcat 爆出高危安全漏洞,其云集群组件会将敏感的 Kubernetes 承载令牌(bearer token)写入日志文件。该漏洞被标记为 CVE-2026-34487,CVSS 评分为 7.5(高危级别),意味着攻击者一旦获取日志访问权限,便可窃取用于认证和授权的高权限令牌,进而可能接管或破坏相关的 Kubernetes 集群资源。 此漏洞影响范围广泛,波及 Apache Tomcat 的多个主要版本:从 11.0.0-M1 到 11.0.20,从 10.1.0-M1 到 10.1.53,以及从 9.0.13 到 9.0.116。这意味着大量使用这些版本进行容器化部署或云原生应用开发的企业面临直接风险。漏洞根源...
Apache Tomcat 核心组件 JsonAccessLogValve 被曝存在一个严重的高危漏洞,编号 CVE-2026-34483,CVSS 评分为 7.5。该漏洞源于输出编码或转义不当,可能允许攻击者通过特制的日志数据执行恶意操作,对大量使用受影响版本 Tomcat 的 Web 应用服务器构成直接威胁。 该漏洞影响范围极广,波及 Tomcat 的多个主流长期支持版本。具体包括:Tomcat 11.0.0-M1 至 11.0.20 版本,Tomcat 10.1.0-M1 至 10.1.53 版本,以及 Tomcat 9.0.40 至 9.0.116 版本。这意味着大量生产环境中的 Java Web 应用服务器可能暴露在此风...
Apache Tomcat 核心日志组件被曝存在一个高危安全漏洞,CVSS 评分高达 7.5。该漏洞源于 JsonAccessLogValve 组件存在输出编码或转义不当问题,可被利用发起攻击。此漏洞影响范围广泛,波及 Tomcat 11.0.0-M1 至 11.0.20、10.1.0-M1 至 10.1.53 以及 9.0.40 至 9.0.116 等多个主流版本系列,意味着大量生产环境面临潜在风险。 该漏洞被标识为 CVE-2026-34483,官方已发布修复版本。Apache 软件基金会建议所有受影响用户立即升级至已修复的版本:11.0.21、10.1.54 或 9.0.117。漏洞详情已在开源安全邮件列表(oss-secu...
Apache Tomcat 的默认安全配置存在一个高危漏洞,可能允许攻击者通过填充预言机攻击(Padding Oracle Attack)解密敏感会话数据。该漏洞被标记为 CVE-2026-29146,CVSS 评分为 7.5(高危级别),影响范围极广,几乎覆盖了当前所有主流 Tomcat 版本。 具体而言,该漏洞存在于 Tomcat 的 EncryptInterceptor 组件中。当使用默认配置时,攻击者可以利用此漏洞,通过分析加密数据的填充错误响应,逐步推导出加密密钥或直接解密数据。受影响的版本包括 Tomcat 11.0.0-M1 至 11.0.18、10.0.0-M1 至 10.1.52、9.0.13 至 9.0.115...
A high-severity vulnerability, CVE-2026-24880, has been detected in the core Apache Tomcat library embedded within multiple HAPI FHIR Spring Boot sample projects. This critical security flaw resides in the `tomcat-embed-core-10.1.52.jar` file, a foundational component for running Java web applications. The vulnerabilit...