远程主机上安装的 Apache Tomcat 版本为 9.0.105 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.41、11.0.0-M1 之前的 11.0.7。因而会受到 CGI 安全sonstraint 绕过漏洞的影响。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Tomcat 版本低于 11.0.7。因此，它受到 fixed_in_apache_tomcat_11.0.7_security-11 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 tomcat 版本低于 9.0.105-1。因此，该程序受到 ALAS2TOMCAT9-2025-019 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2023-2025-1030 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该程序受到 ALAS2023-2025-1031 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4244 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4244-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包 : tomcat9 版本 : 9.0.107-0+deb11u1 CVE ID : CVE-2024-34750 CVE-2024-54677 CVE-2025-31650 CVE-2025-31651 CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506

    在 Java Web 服务器和 servlet 引擎 Tomcat 9 中发现多个安全漏洞。最值得注意的是，本次更新改进了 HTTP/2 连接的处理方式，并修正了可能导致不受控制资源消耗和拒绝服务的多种缺陷。

    对于 Debian 11 bullseye，已在 9.0.107-0+deb11u1 版本中修复这些问题。

    我们建议您升级 tomcat9 程序包。

    如需了解 tomcat9 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat9

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 9.0.105。因此，它受到 fixed_in_apache_tomcat_9.0.105_security-9 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 10.1.41。因此，它受到 fixed_in_apache_tomcat_10.1.41_security-10 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

如 JSDSERVER-16311 公告中所述远程主机上运行的 Atlassian Jira Service Management Data Center 和 Server (Jira Service Desk) 版本受到漏洞的影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Database Server 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Database Server 的 Oracle Database 组件中的漏洞。支持的版本中受影响的是 19.3-19.27 和 23.4-23.8。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Oracle Database。成功利用此漏洞进行攻击可导致接管 Oracle Database。(CVE-2025-30751)

  - Oracle Database Server 的 Java VM 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27 和 21.3-21.18。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Java VM。
    虽然漏洞位于 Java VM 中，但攻击可能对其他产品造成重大影响（范围更改）。
    成功攻击此漏洞可导致在未经授权的情况下访问重要数据，或完整访问所有可供访问的 Java VM 数据。(CVE-2025-50069)

  - Oracle Database Server 的 Oracle Text (FreeType) 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27、21.3-21.18 和 23.4-23.8。利用此漏洞的难度较大，具有创建会话和创建索引权限并通过 Oracle Net 访问网络的低权限攻击者可利用此漏洞破坏 Oracle Text (FreeType)。成功利用此漏洞进行攻击可导致接管 Oracle Text (FreeType)。(CVE-2025-27363)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114876	Apache Tomcat 10.1.0-M1 < 10.1.41 CGI 安全限制绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114875	Apache Tomcat 11.0.0-M1 < 11.0.7 CGI 安全限制绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114877	Apache Tomcat 9.0.0-M1 < 9.0.104 CGI 安全限制绕过	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
237500	Apache Tomcat 11.0.0.M1 < 11.0.7	Nessus	Web Servers	2025/5/29	2025/6/9	medium
240302	Amazon Linux 2 : tomcat (ALASTOMCAT9-2025-019)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/6/23	medium
240324	Amazon Linux 2023：tomcat9、tomcat9-admin-webapps、tomcat9-el-3.0-api (ALAS2023-2025-1030)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/6/23	medium
240330	Amazon Linux 2023：tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-1031)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/6/23	medium
242491	Debian dla-4244 : libtomcat9-embed-java - 安全更新	Nessus	Debian Local Security Checks	2025/7/22	2025/7/22	high
237498	Apache Tomcat 9.0.0.M1 < 9.0.105	Nessus	Web Servers	2025/5/29	2025/6/9	medium
237499	Apache Tomcat 10.1.0.M1 < 10.1.41	Nessus	Web Servers	2025/5/29	2025/6/9	medium
243565	Atlassian Jira Service Management Data Center 和 Server 5.12.x < 5.12.24 / 10.3.x < 10.3.7 / 10.6.x < 10.7.0 (JSDSERVER-16311)	Nessus	Misc.	2025/8/5	2025/8/5	high
242296	Oracle Database Server (2025 年 7 月 CPU)	Nessus	Databases	2025/7/18	2025/7/18	high

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

high

medium

medium

high

high