远程主机上安装的 Apache Tomcat 版本为 9.0.105 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.41、11.0.0-M1 之前的 11.0.7。因此，它受到CGI安全隔离系统（sonstraint bypass）的影响。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Tomcat 版本低于 11.0.7。因此，它受到 fixed_in_apache_tomcat_11.0.7_security-11 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2023-2025-1030 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Database Server 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Database Server 的 Oracle Database 组件中的漏洞。支持的版本中受影响的是 19.3-19.27 和 23.4-23.8。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Oracle Database。成功利用此漏洞进行攻击可导致接管 Oracle Database。(CVE-2025-30751)

  - Oracle Database Server 的 Java VM 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27 和 21.3-21.18。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Java VM。
    虽然漏洞位于 Java VM 中，但攻击可能对其他产品造成重大影响（范围更改）。
    成功攻击此漏洞可导致在未经授权的情况下访问重要数据，或完整访问所有可供访问的 Java VM 数据。(CVE-2025-50069)

  - Oracle Database Server 的 Oracle Text (FreeType) 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27、21.3-21.18 和 23.4-23.8。利用此漏洞的难度较大，具有创建会话和创建索引权限并通过 Oracle Net 访问网络的低权限攻击者可利用此漏洞破坏 Oracle Text (FreeType)。成功利用此漏洞进行攻击可导致接管 Oracle Text (FreeType)。(CVE-2025-27363)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 24.04 LTS / 25.04 主机上安装的程序包受到 USN-7705-1 公告中提及的多个漏洞的影响。

    据发现，Tomcat 未正确处理大小写。攻击者可能利用此问题绕过身份验证机制。(CVE-2025-46701)

    Elysee Franchuk 发现，Tomcat 未正确限制会话的属性数量。攻击者可能会利用此问题发起拒绝服务攻击。此问题仅影响 Ubuntu 24.04 LTS。(CVE-2024-54677)

    据发现，Tomcat 未正确清理某些 URL。攻击者可能利用此问题绕过身份验证机制。(CVE-2025-31651)

    据发现，Tomcat 未正确处理某些畸形 HTTP 标头，这可导致内存泄露。攻击者可能会利用此问题发起拒绝服务攻击。此问题仅影响 Ubuntu 24.04 LTS。(CVE-2025-31650)

    据发现，Tomcat 在某些情况下未能正确处理并发操作。
    攻击者可能利用此问题执行任意代码。此问题仅影响 Ubuntu 24.04 LTS。(CVE-2024-50379)

    据发现，Tomcat 未正确处理某些身份验证错误。攻击者可能利用此问题绕过身份验证机制。此问题仅影响 Ubuntu 24.04 LTS。
    (CVE-2024-52316)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 12/13 主机上安装的多个程序包受到 dsa-6120 公告中提及的多个漏洞影响。

    - ------------------------------------------------------------------------- Debian 安全公告 DSA-6120-1 security@debian.org https://www.debian.org/security/Markus Koschany 2026 年 2 月 5 日https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    程序包：tomcat10 CVE ID： CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-48989 CVE-2025-49125 CVE-2025-52520 CVE-2025-53506 CVE-2025-55668 CVE-2025-55752 CVE-2025-55754 CVE-2025-61795 CVE-2025-31650 CVE-2025-31651 Debian 缺陷：1106820 1108119 1108117 1111097 1108115 1109112 1109114 1111099 1119294


    在 Java Web 服务器和 servlet 引擎 Tomcat 10 中发现多个安全漏洞。本次更新改进了 HTTP/2 连接的处理方式，并修正了可能导致不受控制资源消耗和拒绝服务的多种缺陷。

    对于旧稳定发行版本 (bookworm)，已在版本 10.1.52-1~deb12u1 中修复这些问题。

    对于稳定发行版本 (trixie)，已在版本 10.1.52-1~deb13u1 中修复这些问题。

    我们建议您升级 tomcat10 程序包。

    如需了解 tomcat10 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat10

    有关 Debian 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://www.debian.org/security/

    邮件列表：debian-security-announce@lists.debian.org

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 10.1.41。因此，它受到 fixed_in_apache_tomcat_10.1.41_security-10 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2023-2025-1031 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.0 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 tomcat 版本低于 9.0.105-1。因此，该程序受到 ALAS2TOMCAT9-2025-019 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 9.0.105。因此，它受到 fixed_in_apache_tomcat_9.0.105_security-9 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

如 JSDSERVER-16311 公告中所述远程主机上运行的 Atlassian Jira Service Management Data Center 和 Server (Jira Service Desk) 版本受到漏洞的影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4244 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4244-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包 : tomcat9 版本 : 9.0.107-0+deb11u1 CVE ID : CVE-2024-34750 CVE-2024-54677 CVE-2025-31650 CVE-2025-31651 CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506

    在 Java Web 服务器和 servlet 引擎 Tomcat 9 中发现多个安全漏洞。最值得注意的是，本次更新改进了 HTTP/2 连接的处理方式，并修正了可能导致不受控制资源消耗和拒绝服务的多种缺陷。

    对于 Debian 11 bullseye，已在 9.0.107-0+deb11u1 版本中修复这些问题。

    我们建议您升级 tomcat9 程序包。

    如需了解 tomcat9 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat9

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 13 主机上安装的多个程序包受到 dsa-6121 公告中提及的多个漏洞影响。

    - ------------------------------------------------------------------------- Debian 安全公告 DSA-6121-1 security@debian.org https://www.debian.org/security/Markus Koschany 2026 年 2 月 5 日https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    程序包：tomcat11 CVE ID：CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-48989 CVE-2025-49125 CVE-2025-52520 CVE-2025-53506 CVE-2025-55668 CVE-2025-55752 CVE-2025-55754 CVE-2025-61795 Debian 缺陷：1106821 1108118 1108116 1111096 1108114 1109111 1109113 1111098


    在 Java Web 服务器和 servlet 引擎 Tomcat 11 中发现多个安全漏洞。本次更新改进了 HTTP/2 连接的处理方式，并修正了可能导致不受控制资源消耗和拒绝服务的多种缺陷。

    对于稳定发行版本 (trixie)，已在版本 11.0.15-1~deb13u1 中修复这些问题。

    我们建议您升级 tomcat11 程序包。

    如需了解 tomcat11 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat11

    有关 Debian 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://www.debian.org/security/

    邮件列表：debian-security-announce@lists.debian.org

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114876	Apache Tomcat 10.1.0-M1 < 10.1.41 CGI 安全约束绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114875	Apache Tomcat 11.0.0-M1 < 11.0.7 CGI 安全约束绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114877	Apache Tomcat 9.0.0-M1 < 9.0.105 CGI 安全约束绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
237500	Apache Tomcat 11.0.0.M1 < 11.0.7	Nessus	Web Servers	2025/5/29	2025/8/12	medium
240324	Amazon Linux 2023：tomcat9、tomcat9-admin-webapps、tomcat9-el-3.0-api (ALAS2023-2025-1030)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/10/30	medium
242296	Oracle Database Server (2025 年 7 月 CPU)	Nessus	Databases	2025/7/18	2026/1/21	critical
253066	Ubuntu 24.04 LTS / 25.04 : Tomcat 漏洞 (USN-7705-1)	Nessus	Ubuntu Local Security Checks	2025/8/20	2025/8/20	high
298164	Debian dsa-6120：libtomcat10-embed-java - 安全更新	Nessus	Debian Local Security Checks	2026/2/5	2026/3/3	high
237499	Apache Tomcat 10.1.0.M1 < 10.1.41	Nessus	Web Servers	2025/5/29	2025/8/12	medium
240330	Amazon Linux 2023：tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-1031)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/10/30	medium
246245	Linux Distros 未修补的漏洞：CVE-2025-46701	Nessus	Misc.	2025/8/8	2026/4/29	high
240302	Amazon Linux 2 : tomcat (ALASTOMCAT9-2025-019)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/10/30	medium
237498	Apache Tomcat 9.0.0.M1 < 9.0.105	Nessus	Web Servers	2025/5/29	2025/8/12	medium
243565	Atlassian Jira Service Management Data Center 和 Server 5.12.x < 5.12.24 / 10.3.x < 10.3.7 / 10.6.x < 10.7.0 (JSDSERVER-16311)	Nessus	Misc.	2025/8/5	2025/8/5	high
242491	Debian dla-4244 : libtomcat9-embed-java - 安全更新	Nessus	Debian Local Security Checks	2025/7/22	2026/1/21	high
298161	Debian dsa-6121：libtomcat11-embed-java - 安全更新	Nessus	Debian Local Security Checks	2026/2/5	2026/3/3	high

检测

插件搜索

medium

medium

medium

medium

medium

critical

high

high

medium

medium

high

medium

medium

high

high

high