Apache Tomcat 10.1.0.M7 < 10.1.52
high Nessus 插件 ID 299410
语言:
简介
远程 Apache Tomcat 服务器受到一个漏洞的影响描述
远程主机上安装的 Tomcat 版本低于 10.1.52。因此,它受到 fixed_in_apache_tomcat_10.1.52_security-10 公告中提及的一个漏洞影响。- Apache Tomcat Native 和 Apache Tomcat 中的不当输入验证漏洞。使用 OCSP 响应器时,Tomcat Native(以及 Tomcat 中 Tomcat Native 代码的 FFM 端口)未对 OCSP 响应完成验证或有效性检查,可允许绕过证书吊销。此问题影响以下 Apache Tomcat Native 版本:1.3.0 至 1.3.4、2.0.0 至 2.0.11;Apache Tomcat 版本:
11.0.0-M1 至 11.0.17、10.1.0-M7 至 10.1.51、9.0.83 至 9.0.114。以下版本在创建 CVE 时处于 EOL 但已知会受到影响:1.1.23 至 1.1.34、1.2.0 至 1.2.39。较早的 EOL 版本不会受到影响。建议 Apache Tomcat Native 用户升级到版本 1.3.5 或更高版本或者 2.0.12 或更高版本,这些版本修复了该问题。建议 Apache Tomcat 用户升级到版本 11.0.18 或更高版本、10.1.52 或更高版本或者 9.0.115 或更高版本,这些版本修复了该问题。(CVE-2026-24734)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Apache Tomcat 10.1.52 或更高版本。另见
插件详情
严重性: High
ID: 299410
文件名: tomcat_10_1_52.nasl
版本: 1.4
类型: Combined
代理: windows, macosx, unix
系列: Web Servers
发布时间: 2026/2/18
最近更新时间: 2026/3/16
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 分数来源: CVE-2026-24734
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:apache:tomcat:10
必需的 KB 项: installed_sw/Apache Tomcat
易利用性: No known exploits are available
补丁发布日期: 2026/1/27
漏洞发布日期: 2026/1/23
参考资料信息
CVE: CVE-2026-24734
IAVA: 2026-A-0172, 2026-A-0175