一、漏洞概要

漏洞名称	Apache Tomcat 敏感信息泄露漏洞(CVE-2024-21733)
发布时间	2024年8月22日
组件名称	Apache-Tomcat
影响范围	8.5.7 ≤ Apache Tomcat < 8.5.63 9.0.0-M11 ≤ Apache Tomcat < 9.0.43
漏洞类型	信息泄露
利用条件	1、用户认证：不需要用户认证 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，能造成信息泄露。 <综合评定威胁等级>：中危，能造成信息泄露。
官方解决方案	已发布

二、漏洞分析

2.1 组件介绍

Apache Tomcat软件是Jakarta Servlet、 Jakarta Server Pages、 Jakarta Expression Language、 Jakarta WebSocket、 Jakarta Annotations和 Jakarta Authentication 规范的开源实现。这些规范是 Jakarta EE 平台的一部分。

2.2 漏洞描述

2024年8月22日，深瞳漏洞实验室监测到一则Apache-Tomcat组件存在信息泄露漏洞的信息，漏洞编号：CVE-2024-21733，漏洞威胁等级：中危。

Apache Tomcat存在安全漏洞，该漏洞源于Tomcat的Coyote连接器组件在处理POST请求时的异常处理不当。攻击者可以通过发送不完整的POST请求触发错误响应，进而可能获取到先前其他用户的请求数据。

三、影响范围

目前受影响的Apache-Tomcat版本：

8.5.7 ≤ Apache Tomcat < 8.5.63

9.0.0-M11 ≤ Apache Tomcat < 9.0.43

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Tomcat升级到最新版本。

返回首页关闭页面