Apache Tomcat 修補多個高風險漏洞

漏洞概述與影響

Apache 軟體基金會近日發布安全公告，針對 Java 應用程式伺服器軟體 Apache Tomcat 修補多個漏洞。其中包含針對 EncryptInterceptor 加密機制的高風險漏洞，以及 OCSP 憑證驗證漏洞。

根據搜尋結果顯示，這些漏洞中有一個嚴重問題可導致攻擊者繞過保安限制，甚至可能導致加密機制遭到繞過，使解密篡改流量成為可能。

具體漏洞細節

• CVE-2026-29146：為 EncryptInterceptor 填充預言攻擊漏洞，允許攻擊者解密篡改流量。
• CVE-2026-34486：因初始修復不完整，導致在處理特定 HTTP 請求輸入時仍存在驗證缺陷，攻擊者可透過發送惡意請求繞過安全限制。
• CVE-2025-49124：不受信任的搜尋路徑漏洞，CVSS v3.1 評分 8.4，屬於高風險等級。

建議措施

鑑於上述漏洞的嚴重性，特別是涉及加密機制繞過與憑證驗證的問題，建議所有用戶儘速更新 Apache Tomcat 至最新版本，以消除安全風險並保護系統環境。