0x00 漏洞编号

• CVE-2023-46589

0x01 危险等级

• 高危
  

0x02 漏洞概述

Tomcat是一个免费的开放源代码的轻量级Web应用服务器。

0x03 漏洞详情

CVE-2023-46589

漏洞类型：请求走私

影响：访问敏感数据

简述：Apache Tomcat中存在请求走私漏洞，由于Tomcat未能正确解析HTTP Trailer标头，超出标头大小限制的特制Trailer标头可能会导致Tomcat将单个请求视为多个请求，从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制，未经授权访问敏感数据等。

0x04 影响版本

• 11.0.0-M1 <= Apache Tomcat <= 11.0.0-M10

• 10.1.0-M1 <= Apache Tomcat <= 10.1.15

• 9.0.0-M1 <= Apache Tomcat <= 9.0.82

• 8.5.0 <= Apache Tomcat <= 8.5.95

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://tomcat.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Tomcat请求走私漏洞