遠端主機上安裝的 Apache Tomcat 版本是 9.0.110 之前的 9.0.0-M1、10.1.47 之前 10.1.0-M1，或是 11.0.12之前的 11.0.0-M1 版本。因此受到一個拒絕服務弱點影響這是因為延遲清除 multipart 上傳暫存檔所致。

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 Tomcat 版本低於 11.0.12。因此會受到 fixed_in_apache_tomcat_11.0.12_security-11 公告中所提及的一個弱點影響。

  - Apache Tomcat 中的不當資源關閉或釋放弱點。若在處理多部分上傳期間發生錯誤 (包括超出限制)則寫入至磁碟的已上傳部分之暫存副本不會立即清除而是留給記憶體回收處理程序加以刪除。
    根據 JVM 設定、應用程式記憶體使用量和應用程式負載而定用於上傳部分暫存副本的空間的填滿速度可能比 GC 清除的速度快進而導致 DoS。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正該問題。
    (CVE-2025-61795)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本低於 9.0.110-1。因此，會受到 ALAS2TOMCAT9-2025-023 公告中所提及的多個弱點影響。

    Apache Tomcat 中的相對路徑遊走弱點。

    錯誤 60013 的修正引入了回歸，其中重寫的 URL 在解碼之前經過標準化。這導致了潛在風險：對於將查詢參數重寫至 URL 的重寫規則，攻擊者可以操控要求 URI，以繞過 /WEB-INF/ 和 /META-INF/ 的保護等安全性限制。如果也啟用了 PUT 要求，則攻擊者還可上傳惡意檔案，導致遠端程式碼執行。PUT 要求通常限於受信任的使用者，且 PUT 要求不太可能與操控 URI 的重寫一起啟用。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.0.M11 至 9.0.108。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.6 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

    Apache Tomcat 中的不當資源關閉或釋放弱點。

    如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.0 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正此問題。 (CVE-2025-61795)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2023-2025-1281 公告中所提及的多個弱點影響。

    Apache Tomcat 中的相對路徑遊走弱點。

    錯誤 60013 的修正引入了回歸，其中重寫的 URL 在解碼之前經過標準化。這導致了潛在風險：對於將查詢參數重寫至 URL 的重寫規則，攻擊者可以操控要求 URI，以繞過 /WEB-INF/ 和 /META-INF/ 的保護等安全性限制。如果也啟用了 PUT 要求，則攻擊者還可上傳惡意檔案，導致遠端程式碼執行。PUT 要求通常限於受信任的使用者，且 PUT 要求不太可能與操控 URI 的重寫一起啟用。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.0.M11 至 9.0.108。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.6 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

    Apache Tomcat 中的不當資源關閉或釋放弱點。

    如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.0 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正此問題。 (CVE-2025-61795)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本低於 7.0.76-10。因此，它會受到 ALAS2-2025-3067 公告中提及的一個弱點影響。

    Apache Tomcat 中的不當資源關閉或釋放弱點。

    如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.0 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正此問題。 (CVE-2025-61795)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Apache Tomcat 中的不當資源關閉或釋放弱點。若在處理多部分上傳期間發生錯誤 (包括超出限制)則寫入至磁碟的已上傳部分之暫存副本不會立即清除而是留給記憶體回收處理程序加以刪除。
    根據 JVM 設定、應用程式記憶體使用量和應用程式負載而定用於上傳部分暫存副本的空間的填滿速度可能比 GC 清除的速度快進而導致 DoS。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正該問題。
    (CVE-2025-61795)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 Tomcat 版本低於 9.0.110。因此，會受到 fixed_in_apache_tomcat_9.0.110_security-9 公告中所提及的一個弱點影響。

  - Apache Tomcat 中的不當資源關閉或釋放弱點。如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。
    視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、10.1.47 或更新版本、9.0.110 或更新版本，即可修正此問題。
    (CVE-2025-61795)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本低於 10.1.47。因此，會受到 fixed_in_apache_tomcat_10.1.47_security-10 公告中提及的一個弱點影響。

  - Apache Tomcat 中的不當資源關閉或釋放弱點。如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。
    視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.0 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、10.1.47 或更新版本、9.0.110 或更新版本，即可修正此問題。
    (CVE-2025-61795)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2023-2025-1280 公告中所提及的多個弱點影響。

    Apache Tomcat 中的相對路徑遊走弱點。

    錯誤 60013 的修正引入了回歸，其中重寫的 URL 在解碼之前經過標準化。這導致了潛在風險：對於將查詢參數重寫至 URL 的重寫規則，攻擊者可以操控要求 URI，以繞過 /WEB-INF/ 和 /META-INF/ 的保護等安全性限制。如果也啟用了 PUT 要求，則攻擊者還可上傳惡意檔案，導致遠端程式碼執行。PUT 要求通常限於受信任的使用者，且 PUT 要求不太可能與操控 URI 的重寫一起啟用。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.0.M11 至 9.0.108。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.6 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

    Apache Tomcat 中的不當資源關閉或釋放弱點。

    如果在處理多部分上傳期間發生錯誤 (包括超出限制)，寫入磁碟的已上傳部分暫存副本不會立即清除，而是留給記憶體回收處理程序刪除。視 JVM 設定、應用程式記憶體使用量和應用程式負載而定，已上傳部分暫存副本耗用空間的速度，可能比 GC 清理空間還快，進而導致 DoS。



    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.11 (含)、10.1.0-M1 至 10.1.46 (含)、9.0.0.M1 至 9.0.109 (含)。

    下列版本在建立 CVE 時已 EOL但已知會受到影響 8.5.0 至 8.5.100。其他較舊的 EOL 版本也可能受到影響。建議使用者升級至 11.0.12 或更新版本、 10.1.47 或更新版本或 9.0.110 或更新版本其可修正此問題。 (CVE-2025-61795)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
115022	Apache Tomcat 10.1.0-M1 < 10.1.47 拒絕服務	Web App Scanning	Component Vulnerability	2025/11/4	2025/11/4	medium
115021	Apache Tomcat 11.0.0-M1 < 11.0.12 拒絕服務	Web App Scanning	Component Vulnerability	2025/11/4	2025/11/4	medium
115023	Apache Tomcat 9.0.0-M1 < 9.0.110 拒絕服務	Web App Scanning	Component Vulnerability	2025/11/4	2025/11/4	medium
271696	Apache Tomcat 11.0.0.M1 < 11.0.12	Nessus	Web Servers	2025/10/27	2025/10/31	high
274634	Amazon Linux 2tomcat --advisory ALAS2TOMCAT9-2025-023 (ALASTOMCAT9-2025-023)	Nessus	Amazon Linux Local Security Checks	2025/11/10	2025/11/10	high
274699	Amazon Linux 2023：tomcat9、tomcat9-admin-webapps、tomcat9-el-3.0-api (ALAS2023-2025-1281)	Nessus	Amazon Linux Local Security Checks	2025/11/11	2025/11/11	high
274653	Amazon Linux 2tomcat --advisory ALAS2-2025-3067 (ALAS-2025-3067)	Nessus	Amazon Linux Local Security Checks	2025/11/11	2025/11/11	medium
271822	Linux Distros 未修補的弱點：CVE-2025-61795	Nessus	Misc.	2025/10/28	2025/10/29	medium
271694	Apache Tomcat 9.0.0.M1 < 9.0.110	Nessus	Web Servers	2025/10/27	2025/10/31	high
271695	Apache Tomcat 10.1.0.M1 < 10.1.47	Nessus	Web Servers	2025/10/27	2025/10/31	high
274659	Amazon Linux 2023：tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-1280)	Nessus	Amazon Linux Local Security Checks	2025/11/11	2025/11/11	high

偵測

搜尋 Plugin

medium

medium

medium

high

high

high

medium

medium

high

high

high