Apache Tomcat 9.0.0.M1 < 9.0.118 多个漏洞

critical Nessus 插件 ID 314334

语言：

简介

远程 Apache Tomcat 服务器受到多个漏洞的影响

描述

远程主机上安装的 Tomcat 版本低于 9.0.118。因此，如公告 fixed_in_apache_tomcat_9.0.118_security-9 所述，受到多个漏洞的影响。

- 已弃用：认证绕过问题 Apache Tomcat 的摘要式认证中的漏洞。此问题影响 Apache Tomcat：从 11.0.0-M1 到、从 10.1.0-M1 到、从、 9.0.1178.5.09.0.0.M18.5.100到、从之前。7.0.010.1.5411.0.21 不受支持的较旧版本也将受到影响。建议用户升级到 11.0.22版本， 10.1.55 或 9.0.118 修复了此问题。
(CVE-2026-43512)

- 多种方法限制为 Apache Tomcat 中的同一扩展定义 HTTP 方法时，存在不当授权漏洞。此问题影响 Apache Tomcat：从 11.0.0-M1 到、从 10.1.0-M1 到、从、 8.5.1007.0.07.0.1098.5.0 到、 9.0.0.M19.0.117到、到。10.1.5411.0.21 建议用户升级到 11.0.22版本或 10.1.559.0.118 其中修正了问题。
(CVE-2026-43515)

- 比较 Apache Tomcat 中的 AJP 秘密时存在可观察的时序差异漏洞。此问题影响 Apache Tomcat：从 11.0.0-M1 到、从 10.1.0-M1 到、从、 8.5.1007.0.07.0.1098.5.0 到、 9.0.0.M19.0.117到、到。10.1.5411.0.21 较旧的不受支持的版本可能也受到影响。建议用户升级到 11.0.22版本或 10.1.559.0.118 其中修正了问题。
(CVE-2026-43514)

- 对 Apache Tomcat 的 LockOutRealm 中区分大小写漏洞的不当处理。此问题影响 Apache Tomcat：从 11.0.0-M1 到、从 10.1.0-M1 到、从、 8.5.1007.0.07.0.1098.5.0 到、 9.0.0.M19.0.117到、到。10.1.5411.0.21 较旧的不受支持的版本可能也受到影响。建议用户升级到 11.0.22版本或 10.1.559.0.118 其中修正了问题。
(CVE-2026-43513)

- 在 Apache Tomcat 中，WebSocket 认证期间向非预期主机暴露 HTTP 认证标头。此问题影响 Apache Tomcat：从 11.0.0-M1 到、从 10.1.0-M1 到、从、 8.5.1007.0.837.0.1098.5.24 到、 9.0.29.0.117到、到。10.1.5411.0.21 建议用户升级到已修复此问题的版本 11.0.22、 10.1.55 或 9.0.118。(CVE-2026-42498)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。