1. Apache Tomcat 高危漏洞 CVE-2026-29146:默认配置下的加密拦截器存在填充预言机攻击风险
Apache Tomcat 的默认安全配置存在一个高危漏洞,可能允许攻击者通过填充预言机攻击(Padding Oracle Attack)解密敏感会话数据。该漏洞被标记为 CVE-2026-29146,CVSS 评分为 7.5(高危级别),影响范围极广,几乎覆盖了当前所有主流 Tomcat 版本。 具体而言,该漏洞存在于 Tomcat 的 EncryptInterceptor 组件中。当使用默认配置时,攻击者可以利用此漏洞,通过分析加密数据的填充错误响应,逐步推导出加密密钥或直接解密数据。受影响的版本包括 Tomcat 11.0.0-M1 至 11.0.18、10.0.0-M1 至 10.1.52、9.0.13 至 9.0.115...