Apache Tomcat: CVE-2025-66614 的修复不完整

Apache Tomcat 中的 CVE-2026-32990 由于不正确的输入验证而构成安全风险。此缺陷是由于对 CVE-2025-66614 的修复不完整造成的。受影响的版本包括 Tomcat 11.0.15 到 11.0.19、10.1.50 到 10.1.52 以及 9.0.113 到 9.0.115。攻击者可能利用此漏洞在服务器上注入恶意代码或执行未经授权的操作。CVSS 严重性评分为 5.3，表明存在中等风险。为了保护您的 Web 应用程序和敏感数据，务必解决此漏洞。

Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.

• linux / server:

journalctl -u tomcat | grep -i "CVE-2026-32990"

• generic web:

curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"

• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.

1. 2026-04-09Disclosure

   disclosure

1. 已保留2026-03-17
2. 发布日期2026-04-09
3. 修改日期2026-04-15
4. EPSS 更新日期2026-04-17

减轻 CVE-2026-32990 的推荐解决方案是将 Apache Tomcat 升级到已修补的版本。具体来说，建议升级到版本 11.0.20、10.1.53 或 9.0.116。这些版本包含解决不正确输入验证所需的修复程序。为了尽量减少被利用的风险，建议尽快应用升级。在应用升级之前，建议备份 Tomcat 配置并在暂存环境中测试升级，以确保与应用程序的兼容性。升级后，请监控服务器日志，以查找任何意外问题。