Apache Tomcat 11.0.0.M1 < 11.0.23 多个漏洞

medium Nessus 插件 ID 323713

简介

远程 Apache Tomcat 服务器受到多个漏洞的影响

描述

远程主机上安装的 Tomcat 版本低于 11.0.23。因此,如公告 fixed_in_apache_tomcat_11.0.23_security-11 所述,受到多个漏洞的影响。

- Web 页面中与脚本相关的 HTML 标签未正确抵消(基本 XSS) Apache Tomcat 的猜数示例中的漏洞。此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.22、10.1.0-M1 至 10.1.55、9.0.0.M1 至 9.0.118、8.5.0 至 8.5.100,到 7.0.0 至 7.0.109。其他已不受支持的版本可能也受到影响。建议用户升级到已修复此问题的版本 11.0.23、 10.1.56 或 9.0.119。(CVE-2026-50229)

- Apache Tomcat 中的不当授权漏洞,会导致为默认 servlet 指定的安全限制忽略作为限制的一部分配置的任何方法或方法遗漏。此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.22、10.1.0-M1 至 10.1.55、9.0.0.M1 至 9.0.118、8.5.0 至 8.5.100,到 7.0.0 至 7.0.109。其他已不受支持的版本可能也受到影响。建议用户升级到已修复此问题的版本 11.0.23、 10.1.56 或 9.0.119。(CVE-2026-55956)

- Apache Tomcat 中的不当认证漏洞允许对群集组件中的 EncryptionInterceptor 发起重放攻击。此问题影响以下 Apache Tomcat 版本:11.0.0-M1 至 11.0.22、10.1.0-M1 至 10.1.55、9.0.13 至 9.0.18、8.5.38 至 8.5.100,到 7.0.100 至 7.0.109。建议用户升级到版本 11.0.23、 ,10.1.569.0.119其中修复了该问题。(CVE-2026-55955)

- 总是不正确的控制流 Apache Tomcat 中的实现漏洞意味着记录有效web.xml时不包含特殊角色和空授权限制。此问题影响 Apache Tomcat:从 11.0.0-M1 到 11.0.22、从 10.1.0-M1 到 10.1.55、 到 9.0.0.M19.0.118、 8.5.08.5.100到 到 。其他已不受支持的版本可能也受到影响。建议用户升级到修复了问题的版本11.0.2310.1.569.0.119。
(CVE-2026-55276)

- 为基于 FFM 的连接器配置 CRL 时,在 Apache Tomcat 中检测错误条件无操作漏洞。此问题影响 Apache Tomcat:从 11.0.0-M1 到 11.0.2210.1.0-M7 到 10.1.55到 到 。9.0.839.0.118 建议用户升级至已修复该问题的版本 11.0.23、10.1.56 或 9.0.119。(CVE-2026-53434)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Apache Tomcat 11.0.23 或更高版本。

另见

http://www.nessus.org/u?179e0f8c

http://www.nessus.org/u?4995cbef

http://www.nessus.org/u?4afb5180

http://www.nessus.org/u?4de970f3

http://www.nessus.org/u?7955069b

http://www.nessus.org/u?9a71db42

http://www.nessus.org/u?d8e81d13

http://www.nessus.org/u?fa19cb5b

插件详情

严重性: Medium

ID: 323713

文件名: tomcat_11_0_23.nasl

版本: 1.1

类型: Combined

代理: windows, macosx, unix

系列: Web Servers

发布时间: 2026/6/30

最近更新时间: 2026/6/30

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

百分位: 58.03

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2026-50229

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:tomcat:11

必需的 KB 项: installed_sw/Apache Tomcat

易利用性: No known exploits are available

补丁发布日期: 2026/6/22

漏洞发布日期: 2026/6/22

参考资料信息

CVE: CVE-2026-50229, CVE-2026-53404, CVE-2026-53434, CVE-2026-55276, CVE-2026-55955, CVE-2026-55956