一、漏洞公告
监测发现最新漏洞威胁,Apache Tomcat 存在远程代码执行漏洞CVE-2026-34486,攻击者可以构造未加密的恶意 Tribes 协议数据包,通过 4000 端口发送至目标节点,且该数据包不需要遵守加密规范。若 ClassPath 中存在能串联 Gadget 攻击链的 Jar 包,则能实现远程代码执行。
二、影响范围
目前受影响的Apache-Tomcat版本:
Apache Tomcat 11.0.20
Apache Tomcat 10.1.53
Apache Tomcat 9.0.116
三、安全建议
官方已发布最新版本修复该漏洞,建议受影响用户将Tomcat更新到最新版本。
