Apache Tomcat 11.0.0.M1 < 11.0.22 多个漏洞

critical Nessus 插件 ID 316002

语言：

简介

远程 Apache Tomcat 服务器受到多个漏洞的影响

描述

远程主机上安装的 Tomcat 版本低于 11.0.22。因此，如公告 fixed_in_apache_tomcat_11.0.22_security-11 所述，受到多个漏洞的影响。

- 已弃用：认证绕过问题 Apache Tomcat 的摘要式认证中的漏洞。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100，到 7.0.0 之前。更旧的不受支持的版本可能也受到影响。建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43512)

- 多种方法限制为 Apache Tomcat 中的同一扩展定义 HTTP 方法时，存在不当授权漏洞。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100，到 7.0.0 至 7.0.109。建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43515)

- 比较 Apache Tomcat 中的 AJP 秘密时存在可观察的时序差异漏洞。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100，到 7.0.0 至 7.0.109。较早的不受支持的版本也可能受到影响。建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43514)

- 对 Apache Tomcat 的 LockOutRealm 中区分大小写漏洞的不当处理。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.0.M1 至 9.0.117、8.5.0 至 8.5.100，到 7.0.0 至 7.0.109。较早的不受支持的版本也可能受到影响。建议用户升级到已修复此问题的版本 11.0.22、10.1.55或9.0.118。
(CVE-2026-43513)

- 在 Apache Tomcat 中，WebSocket 认证期间向非预期主机暴露 HTTP 认证标头。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.21、10.1.0-M1 至 10.1.54、9.0.2 至 9.0.117、8.5.24 至 8.5.100，到 7.0.83 至 7.0.109。建议用户升级到已修复此问题的版本 11.0.22、 10.1.55 或 9.0.118。(CVE-2026-42498)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。