# Apache Tomcat:Rewrite Valve规则绕过漏洞
## 漏洞概述
Apache Tomcat 存在 Improper Neutralization of Escape, Meta, 或 Control Sequences 漏洞。在某些特定且不太可能的重写规则配置下,恶意请求可能绕过这些规则。如果这些规则用于确保安全约束,可能会使这些约束失效。
## 影响版本
- Apache Tomcat 11.0.0-M1 至 11.0.5
- Apache Tomcat 10.1.0-M1 至 10.1.39
- Apache Tomcat 9.0.0.M1 至 9.0.102
## 漏洞细节
在某些特定且不太可能的重写规则配置情况下,精心构造的请求可能绕过一些重写规则。如果这些规则有效地进行了安全约束(例如防止非法访问或注入攻击),则可能导致这些约束失效。
## 影响
该漏洞可能导致安全限制被绕过,从而增加系统被攻击的风险。建议用户升级到修复版本 [FIXED_VERSION] 以解决该问题。
# | POC 描述 | 源链接 | 神龙链接 |
---|---|---|---|
1 | CVE Discovered by Greg K | https://github.com/gregk4sec/CVE-2025-31651 | POC详情 |
标题: announce@tomcat.apache.org, past month - Apache Mail Archives -- 🔗来源链接
标签: vendor-advisory