Apache Tomcat 存在漏洞：身份验证绕过、HTTP/2 请求混淆和 XSS 漏洞

Apache 软件基金会最近披露了三个影响 Apache Tomcat（一种广泛使用的开源 Web 服务器和 servlet 容器）的新漏洞。这些漏洞包括身份验证绕过和潜在的跨站点脚本 (XSS) 攻击，可能会使大量 Web 应用程序暴露给恶意攻击者。

第一个漏洞被标识为 CVE-2024-52316，它允许潜在的身份验证绕过。该公告描述了这个问题：“如果 Tomcat 配置为使用自定义 Jakarta 身份验证（以前称为 JASPIC）ServerAuthContext 组件，该组件可能会在身份验证过程中抛出异常，而没有明确设置 HTTP 状态来指示失败，则身份验证可能并未失败，从而允许用户绕过身份验证过程。 ”值得庆幸的是，“目前还没有已知的 Jakarta 身份验证组件以这种方式运行”，这让人有些放心。

第二个漏洞 CVE-2024-52317涉及请求和响应混淆。此漏洞源于“错误回收 HTTP/2 请求所使用的请求和响应”，可能导致不同用户之间的数据泄露。想象一下，一个用户的敏感信息最终出现在发送给另一个用户的响应中！

最后，CVE-2024-52318 暴露了生成的 JSP（JavaServer Pages）中的潜在 XSS 漏洞。此漏洞源自之前的修复（改进 69333），该修复无意中导致“池化 JSP 标记在使用后未释放，这反过来可能导致某些标记的输出未按预期转义”。这可能允许攻击者将恶意脚本注入网页，从而可能危及用户数据或劫持会话。

好消息是，Apache Tomcat 项目已经发布了针对这三个漏洞的修复程序。强烈建议用户升级到最新版本的 Apache Tomcat：

• CVE-2024-52316 和 CVE-2024-52317：升级到 Apache Tomcat 11.0.0 或更高版本、10.1.31 或更高版本、或 9.0.96 或更高版本。

• CVE-2024-52318：升级到 Apache Tomcat 11.0.1 或更高版本、10.1.33 或更高版本、或者 9.0.97 或更高版本。

原文始发于微信公众号（独眼情报）：Apache Tomcat 存在漏洞：身份验证绕过、HTTP/2 请求混淆和 XSS 漏洞