一、 漏洞 CVE-2024-52316 基础信息
漏洞信息
                                        # 使用 Jakarta 认证 API 时 Apache Tomcat 中存在的认证绕过漏洞

## 概述
Apache Tomcat 中存在一个未检查错误条件漏洞。如果配置为使用自定义 Jakarta Authentication(以前称为 JASPIC)ServerAuthContext 组件,并且该组件在认证过程中抛出异常但未显式设置 HTTP 状态来指示失败,这可能会导致认证过程不失败,从而使用户绕过认证。

## 影响版本
- 从 11.0.0-M1 到 11.0.0-M26
- 从 10.1.0-M1 到 10.1.30
- 从 9.0.0-M1 到 9.0.95

## 细节
如果自定义 Jakarta Authentication ServerAuthContext 验证组件在认证期间抛出异常但没有设置 HTTP 状态来明确表示认证失败,可能导致认证过程不失败,从而使用户能够绕过认证。

## 影响
未发现任何 Jakarta Authentication 组件以这种方式行为。推荐升级到 11.0.0、10.1.31 或 9.0.96 版本,这些版本已修复该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Tomcat: Authentication bypass when using Jakarta Authentication API
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Unchecked Error Condition vulnerability in Apache Tomcat. If Tomcat is configured to use a custom Jakarta Authentication (formerly JASPIC) ServerAuthContext component which may throw an exception during the authentication process without explicitly setting an HTTP status to indicate failure, the authentication may not fail, allowing the user to bypass the authentication process. There are no known Jakarta Authentication components that behave in this way. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M26, from 10.1.0-M1 through 10.1.30, from 9.0.0-M1 through 9.0.95. Users are recommended to upgrade to version 11.0.0, 10.1.31 or 9.0.96, which fix the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未经检查的错误条件
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Tomcat 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在安全漏洞,该漏洞源于存在未检查的错误条件漏洞,可能会在身份验证过程中抛出异常,从而允许用户绕过身份验证过程。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52316 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/famixcm/CVE-2024-52316 POC详情
2 CVE-2024-52316 - Apache Tomcat Authentication Bypass Vulnerability https://github.com/TAM-K592/CVE-2024-52316 POC详情
三、漏洞 CVE-2024-52316 的情报信息