远程主机上安装的 Tomcat 版本低于 7.0.22。因此，它受到 fixed_in_apache_tomcat_7.0.22_security-7 公告中提及的多个漏洞影响。

  - Apache Tomcat 6.0.30 至 6.0.33 以及低于 7.0.22 的 7.x 未正确执行某些涉及请求对象的缓存和回收操作，从而允许远程攻击者通过读取 TCP 数据在有机会时获取 IP 地址和 HTTP 标头信息的非预期访问权限。
    (CVE-2011-3375)

  - 在 7.x 至 7.0.22 版本的 Apache Tomcat 中，org/apache/catalina/core/DefaultInstanceManager.java 未正确限制 Manager 应用程序中的 ContainerServlet，导致本地攻击者可以通过使用不受信任的 Web 应用程序访问 Manager 应用程序的功能来获取权限。(CVE-2011-3376)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Apache Tomcat 7.0.0 < 7.0.22 多个漏洞

medium Nessus 插件 ID 57082

版本 1.19