在 Apache Tomcat 的 CGI servlet 实现中发现了一个新的安全漏洞,该漏洞可能允许攻击者在特定条件下绕过配置的安全约束。

该漏洞名为CVE-2025-46701,于2025年5月29日披露,并影响流行的Java应用程序服务器的多个版本。

该漏洞源于Apache Tomcat的CGI servlet中对案例敏感度的不当处理,特别是影响映射到CGI servlet的URL的pathInfo组件。

当 Tomcat 对为 pathInfo 组件配置安全约束的大小写不敏感文件系统运行时,特制的 URL 可以规避这些保护措施。

安全研究人员将这种漏洞归类为低严重程度,尽管它代表了依赖基于CGI的应用程序并具有严格访问控制的组织的重大问题。

该漏洞特别影响启用 CGI 支持的环境,Tomcat 安装中默认禁用该环境。

Apache Tomcat CGI Servlet 漏洞

该漏洞影响了三个主要版本分支中广泛的Apache Tomcat版本。受影响的版本包括Apache Tomcat 11.0.0-M1至11.0.6,101.0-M1至10.1.40和9.0.0-M1至9.0.104。

这种广泛的范围意味着许多生产环境可能容易受到攻击,特别是那些支持CGI支持旧应用程序或特定开发工作流的生产环境。

Apache软件基金会强调,此漏洞仅影响明确启用CGI支持的系统,因为该功能在所有Tomcat版本中默认保持禁用。

使用 Tomcat 主要用于没有 CGI 功能的标准 Web 应用程序托管的组织不会暴露在此特定攻击向量。

Apache软件基金会发布了补丁版本,解决了所有受影响分支机构的此漏洞。组织应升级到 Apache Tomcat 11.0.7、10.1.41 或 9.0.105,具体取决于其当前部署。

这些更新的版本包括 CGI servlet 实现中适当的案例敏感处理。

安全研究员Greg K负责任地披露了该漏洞,他的GitHub个人资料显示了安全研究方面的专业知识。这一发现强调了对广泛部署的软件组件进行持续安全评估的重要性,即使对于生产环境中可能不常用的功能也是如此。

系统管理员应立即评估其 Tomcat 部署,以确定是否启用了 CGI 支持,以及是否将安全约束应用于 pathInfo 组件。

使用CGI功能的组织应优先升级到修补版本,而那些不需要CGI支持的组织应确保它作为额外的安全措施保持禁用。

定期进行安全审计和保持供应商安全咨询状态仍然是在企业环境中维护安全 Apache Tomcat 部署的关键做法。