Apache Tomcat 9.0.0.M1 < 9.0.106 多個弱點

high Nessus Plugin ID 240060

語言:

概要

遠端 Apache Tomcat 伺服器受到多個弱點影響

說明

遠端主機上安裝的 Tomcat 版本低於 9.0.106。因此，會受到 fixed_in_apache_tomcat_9.0.106_security-9 公告中提及的多個弱點影響。

- Windows 版 Apache Tomcat 安裝程式中的未受信任搜尋路徑弱點。安裝期間，Windows 的 Tomcat 安裝程式使用了 icacls.exe，但未指定完整路徑。此問題影響以下版本的 Apache Tomcat：從 11.0.0-M1 至 11.0.7、從 10.1.0 至 10.1.41、從 9.0.23 至 9.0.105。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100 和 7.0.95 至 7.0.109。建議使用者升級至 11.0.8、10.1.42 或 9.0.106 版，即可修正此問題。(CVE-2025-49124)

- Apache Tomcat 中因重寫閥造成的工作階段固定弱點。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.7 (含)、10.1.0-M1 至 10.1.41 (含)、9.0.0.M1 至 9.0.105 (含)。較舊的停產版本也可能受到影響。建議使用者升級至 11.0.8、10.1.42 或 9.0.106 版，即可修正此問題。(CVE-2025-55668)

- 使用 Apache Tomcat 中的替代路徑或通道弱點進行驗證繞過。使用掛載於 Web 應用程式 root 以外的 PreResources 或 PostResources 時，可透過非預期的路徑存取這些資源。該路徑可能未受到與預期路徑相同的安全性限制保護，進而允許繞過這些安全性限制。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.7 (含)、10.1.0-M1 至 10.1.41 (含)、9.0.0.M1 至 9.0.105 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.8、10.1.42 或 9.0.106 版，即可修正此問題。(CVE-2025-49125)

- Apache Tomcat 中的無限制或節流資源配置弱點。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.7 (含)、10.1.0-M1 至 10.1.41 (含)、9.0.0.M1 至 9.0.105 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.8、10.1.42 或 9.0.106 版，即可修正此問題。(CVE-2025-48988)

- 在限制不足的情況下配置 multipart 標頭的資源時，會啟用 Apache Commons FileUpload 中的 DoS 弱點。此問題會影響 Apache Commons FileUpload：從 1.0 到 1.6；從 2.0.0-M1 到 2.0.0-M4 之前的。建議使用者升級至 1.6 或 2.0.0-M4 版，即可修正此問題。(CVE-2025-48976)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。