远程主机上安装的 Tomcat 版本低于 11.0.15。因此如公告 fix_in_apache_tomcat_11.0.15_security-11 所述受到多个漏洞的影响。

  - 不当输入验证漏洞。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.14、10.1.0-M1 至 10.1.49、9.0.0-M1 至 9.0.112。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.0 至 8.5.100。较早的 EOL 版本不会受到影响。Tomcat 未验证通过 SNI 扩展程序提供的主机名是否与 HTTP 主机标头字段中提供的主机名相同。如果 Tomcat 配置了多个虚拟主机，并且其中一台主机的 TLS 配置不需要客户端证书身份验证，而另一台主机需要，则客户端可能会通过在 SNI 扩展和 HTTP 主机标头字段中发送不同的主机名来绕过客户端证书身份验证。只有在连接器上强制执行客户端证书身份验证时，才会触发此漏洞。如果在 Web 应用程序端强制执行客户端证书身份验证，则不会触发此漏洞。建议用户升级到已修复此问题的版本 11.0.15 或更高版本、10.1.50 或更高版本，或 9.0.113 或更高版本。(CVE-2025-66614)

  - Apache Tomcat 中的不当输入验证漏洞。Tomcat 未将 HTTP/0.9 请求限制为 GET 方法。如果将安全限制配置为允许向 URI 发出 HEAD 请求但拒绝 GET 请求，则用户可通过使用 HTTP/0.9 发送（规范无效）HEAD 请求来绕过这项对 GET 请求的限制。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.14、10.1.0-M1 至 10.1.49、9.0.0.M1 至 9.0.112。较早的 EOL 版本也会受到影响。建议用户升级到修复了此问题的 11.0.15 或更高版本、10.1.50 或更高版本，或者 9.0.113 或更高版本。
    (CVE-2026-24733)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Apache Tomcat 11.0.0.M1 < 11.0.15 多个漏洞

critical Nessus 插件 ID 299403

版本 1.3