远程主机上安装的 Apache Tomcat 版本为 8.5.7 至 8.5.63 版和 9.0.0-M11 至 9.0.43 版。因此，它会受到请求走私漏洞的影响。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。此问题影响以下版本的 Apache Tomcat：8.5.7 至 8.5.63、9.0.0-M11 至 9.0.43。其他EOL 版本也可能受到影响。建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 tomcat 版本低于 9.0.50-1。因此，它受到 ALAS2TOMCAT9-2024-011 公告中提及的多个漏洞影响。

  - Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 和 8.5.0 至 8.5.66 在某些情况下未正确解析 HTTP 传输编码请求标头，导致可能在与反向代理一起使用时触发请求走私攻击。特别地：- 如果客户端声明只接受 HTTP/1.0 响应，Tomcat 会错误地忽略传输编码标头；- Tomcat 遵从身份编码；
    以及 - Tomcat 未确保分块编码（如果存在）是最终编码。
    (CVE-2021-33037)

  - Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。此问题影响 Apache Tomcat：8.5.7 至 8.5.63 版、9.0.0-M11 至 9.0.43 版。建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Tomcat 版本低于 9.0.44。因此，该应用程序受到 fixed_in_apache_tomcat_9.0.44_security-9 公告中提及的多个漏洞影响。

  - Apache Tomcat 8.5.0 到 8.5.63、9.0.0-M1 到 9.0.43 和 10.0.0-M1 到 10.0.2 未正确验证传入的 TLS 数据包。当 Tomcat 配置为对 TLS 使用 NIO+OpenSSL 或 NIO2+OpenSSL 时，可以使用特别构建的数据包来触发无限循环，从而导致拒绝服务。
    (CVE-2021-41079)

  - Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。此问题影响以下版本的 Apache Tomcat：8.5.7 至 8.5.63、9.0.0-M11 至 9.0.43。建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 tomcat8 版本低于 8.5.69-1.88。因此，该软件受到 ALAS-2021-1547 公告中提及的多个漏洞影响。

    Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 和 8.5.0 至 8.5.66 在某些情况下未正确解析 HTTP 传输编码请求标头，导致可能在与反向代理一起使用时触发请求走私攻击。特别地：- 如果客户端声明只接受 HTTP/1.0 响应，Tomcat 会错误地忽略传输编码标头；- Tomcat 遵从身份编码；
    以及 - Tomcat 未确保分块编码（如果存在）是最终编码。
    (CVE-2021-33037)

    在 Apache Tomcat 中发现一个缺陷。将 Tomcat 配置为针对 TLS 使用 NIO+OpenSSL 或 NIO2+OpenSSL 时，特制的数据包可能触发无限循环，进而导致拒绝服务。此漏洞最大的威胁在于系统可用性。(CVE-2021-41079)

    Apache Tomcat 中存在包含敏感信息的错误消息的生成。此问题影响 Apache Tomcat： 8.5.7 至 8.5.63、 9.0.0-M11 至 9.0.43。

    建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 IBM Engineering Requirements Management DOORS（以前称为 IBM Rational DOORS）版本是 9.7.2.x 之前的 9.7.2.8。因此，它受到 7124058 公告中提及的多个漏洞影响。

  - 1.9.1 之前的 Apache Shiro，在某些 servlet 容器上可能会错误配置 RegexRequestMatcher 以绕过它。在正则表达式中使用带有“.”的 RegExPatternMatcher 的应用程序可能容易受到授权绕过的影响。(CVE-2022-32532)

  - Java OpenWire 协议编组器容易受到远程代码执行的攻击。利用该漏洞，可以通过网络访问 Java 型 OpenWire 代理或客户端的远程攻击者可以通过操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令，从而导致客户端或代理（分别）实例化类路径上的任何类。建议用户升级到修复了此问题的代理和客户端（版本 5.15.16、5.16.7、5.17.6、5.18.3）。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 在其 JAR 文件中存在 Java 反序列化链。它本身无法被利用。只有与应用程序内的 Java 对象反序列化结合使用时才会存在风险。在此类情况下，它会允许攻击者通过小工具链擦除任意文件的内容、建立网络连接或可能运行任意代码（特别是 Function0 函数）。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 是一个跨站请求漏洞，该漏洞允许攻击者执行从网站信任用户传输的恶意和未经授权的操作。IBM X-Force ID：251216。(CVE-2023-28949)

  4.14 之前的 CKEditor 4.0 的 HTML 数据处理器中存在跨站脚本 (XSS) 漏洞，该漏洞会允许远程攻击者通过构建的受保护注释 （带有 cke_protected 语法）注入任意 web 脚本。(CVE-2020-9281)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 8.5.64。因此，该应用程序受到 fixed_in_apache_tomcat_8.5.64_security-8 公告中提及的多个漏洞影响。

  - Apache Tomcat 8.5.0 到 8.5.63、9.0.0-M1 到 9.0.43 和 10.0.0-M1 到 10.0.2 未正确验证传入的 TLS 数据包。当 Tomcat 配置为对 TLS 使用 NIO+OpenSSL 或 NIO2+OpenSSL 时，可以使用特别构建的数据包来触发无限循环，从而导致拒绝服务。
    (CVE-2021-41079)

  - Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。此问题影响以下版本的 Apache Tomcat：8.5.7 至 8.5.63、9.0.0-M11 至 9.0.43。建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 tomcat 版本低于 8.5.69-1。因此，它会受到 ALAS2TOMCAT8.5-2024-017 公告中提及的多个漏洞影响。

  - Apache Tomcat JNDI Realm 中的漏洞允许攻击者使用有效用户名的变体进行认证和/或绕过 LockOut Realm 提供的某些保护。此问题影响 Apache Tomcat 10.0.0-M1 至 10.0.5；9.0.0.M1 至 9.0.45；8.5.0 至 8.5.65。(CVE-2021-30640)

  - Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 和 8.5.0 至 8.5.66 在某些情况下未正确解析 HTTP 传输编码请求标头，导致可能在与反向代理一起使用时触发请求走私攻击。特别地：- 如果客户端声明只接受 HTTP/1.0 响应，Tomcat 会错误地忽略传输编码标头；- Tomcat 遵从身份编码；
    以及 - Tomcat 未确保分块编码（如果存在）是最终编码。
    (CVE-2021-33037)

  - Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。此问题影响 Apache Tomcat：8.5.7 至 8.5.63 版、9.0.0-M11 至 9.0.43 版。建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 / 25.04 主机上安装的多个程序包受到公告 USN-7562-1 中提及的多个漏洞影响。

    已发现当使用来自反向代理的请求的 RemoteIpFilter 时，Tomcat 未包含会话 cookie 的 secure 属性。攻击者可能会利用此漏洞泄露敏感信息。对于 Ubuntu 18.04 LTS 上的 tomcat8 以及 Ubuntu 24.04 LTS、Ubuntu 24.10 和 Ubuntu 25.04 上的 tomcat9，已修复此问题。(CVE-2023-28708)

    已发现 Tomcat 未正确回收某些对象，这可导致信息从一个请求泄露到下一个请求。攻击者可能会利用此漏洞泄露敏感信息。对于 Ubuntu 18.04 LTS 上的 tomcat8、

    Ubuntu 24.04 LTS、Ubuntu 24.10 和 

    Ubuntu 25.04上的 tomcat9，已修复此问题。(CVE-2023-42795)

    已发现 Tomcat 未正确处理 HTTP Trailer 标头。远程攻击者可能利用此问题执行 HTTP 请求走私。对于 Ubuntu 18.04 LTS 上的 tomcat8、

    Ubuntu 24.04 LTS、Ubuntu 24.10 和 Ubuntu 25.04 上的 tomcat9，已修复此问题。(CVE-2023-45648)

    发现 Tomcat 未正确处理不完整的 POST 请求，这可导致错误响应包含之前请求的数据。攻击者可能会利用此漏洞泄露敏感信息。

    对于 Ubuntu 18.04 LTS 上的 tomcat8、

    Ubuntu 18.04 LTS 和 Ubuntu 20.04 LTS 上的 tomcat9，已修复此问题。(CVE-2024-21733)

    已发现 Tomcat 未正确处理套接字清理，这可导致 websocket 连接保持打开状态。攻击者可能会利用此问题发起拒绝服务攻击。对于

    Ubuntu 18.04 LTS 上的 tomcat8、Ubuntu 24.04 LTS、

    Ubuntu 24.10 和 Ubuntu 25.04 上的 tomcat9 以及 Ubuntu 24.04 LTS 上的 tomcat10，已修复此问题。(CVE-2024-23672)

    发现 Tomcat 未正确处理超出所设标头限制的 HTTP/2 请求。
    攻击者可能会利用此问题发起拒绝服务攻击。(CVE-2024-24549)

    在处理 HTTP/2 流时，Tomcat 无法正确处理某些 HTTP 标头过多的情况，这会导致活动流计数错误和超时处理错误。攻击者可能会利用此问题来造成连接无限期保持开启状态，进而导致拒绝服务。对于 Ubuntu 22.04 LTS、

    Ubuntu 24.04 LTS、Ubuntu 24.10 和 Ubuntu 25.04 上的 tomcat9，以及

    Ubuntu 24.04 LTS 上的 tomcat10，已修复此问题。(CVE-2024-34750)

    发现 Tomcat 在某些配置下未能正确处理 TLS 握手进程。攻击者可能会利用此问题发起拒绝服务攻击。对于 Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS、Ubuntu 24.04 LTS、

    Ubuntu 24.10 和 Ubuntu 25.04 上的 tomcat9 以及 Ubuntu 24.04 LTS 上的 tomcat10，已修复此问题。

    (CVE-2024-38286)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4017 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4017-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 1 月 17 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包：tomcat9 版本：9.0.43-2~deb11u11 CVE ID：CVE-2024-21733 CVE-2024-38286 CVE-2024-50379 CVE-2024-52316 CVE-2024-56337

    已在 Tomcat 9（基于 Java 的 Web 服务器）、servlet 和 JSP 引擎中解决若干可能导致拒绝服务或敏感信息泄露的问题。

    CVE-2024-21733

         Apache Tomcat 中有包含敏感信息的错误消息生成漏洞。

    CVE-2024-38286

        某些配置下的 Tomcat 允许攻击者通过滥用 TLS 握手进程造成 OutOfMemoryError。

    CVE-2024-52316

        Apache Tomcat 中未检查的错误条件漏洞。如果 Tomcat 配置为使用自定义 Jakarta 身份验证（旧称 JASPIC）ServerAuthContext 组件，其可能会在未明确设置表示失败的 HTTP 状态的情况下于身份验证过程中返回异常，导致身份验证可能不会失败，从而允许用户绕过身份验证过程。任何已知 Jakarta 身份验证组件均不会以这种方式运行。

    CVE-2024-50379/CVE-2024-56337

        在 Apache Tomcat 的 JSP 编译期间，如果已为写入启用默认 servlet（非默认配置），则检查时间/使用时间 (TOCTOU) 争用条件漏洞允许在不区分大小写的特定文件系统上触发 RCE。
        有些用户还可能需要其他配置才能完全缓解 CVE-2024-50379，具体取决于 Tomcat 搭配使用的 Java 版本。对于 Debian 11 bullseye，必须将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）。由于 Debian 默认使用区分大小写的文件系统，因此大多数 Debian 用户不会受到影响。

    对于 Debian 11 bullseye，已在 9.0.43-2~deb11u11 版本中修复这些问题。

    我们建议您升级 tomcat9 程序包。

    如需了解 tomcat9 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat9

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114216	Apache Tomcat 8.5.7 < 8.5.64 请求走私	Web App Scanning	Component Vulnerability	2024/2/21	2024/2/21	medium
114215	Apache Tomcat 9.0.0-M11 < 9.0.44 请求走私	Web App Scanning	Component Vulnerability	2024/2/21	2024/2/21	medium
227802	Linux Distros 未修补的漏洞：CVE-2024-21733	Nessus	Misc.	2025/3/5	2025/11/6	medium
190051	Amazon Linux 2：tomcat (ALASTOMCAT9-2024-011)	Nessus	Amazon Linux Local Security Checks	2024/2/6	2024/12/11	medium
194473	Apache Tomcat 9.0.0.M1 < 9.0.44 多个漏洞	Nessus	Web Servers	2024/4/29	2024/5/23	medium
154900	Amazon Linux AMI : tomcat8 (ALAS-2021-1547)	Nessus	Amazon Linux Local Security Checks	2021/11/5	2025/4/11	medium
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多种漏洞 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical
194472	Apache Tomcat 8.5.0 < 8.5.64 多个漏洞	Nessus	Web Servers	2024/4/29	2024/5/23	medium
190055	Amazon Linux 2：tomcat (ALASTOMCAT8.5-2024-017)	Nessus	Amazon Linux Local Security Checks	2024/2/6	2024/12/11	medium
238065	Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 / 25.04：Tomcat 漏洞 (USN-7562-1)	Nessus	Ubuntu Local Security Checks	2025/6/10	2025/6/11	high
214321	Debian dla-4017：libtomcat9-embed-java - 安全更新	Nessus	Debian Local Security Checks	2025/1/17	2025/3/13	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

critical

medium

medium

high

medium