漏洞概述 漏洞编号:CVE-2026-55957 漏洞描述:Apache Tomcat 中的 JNDIRealm 和 GSSAPI 认证绑定存在认证绕过漏洞。如果为默认 servlet 指定了安全约束,则作为约束一部分配置的任何方法省略都将被忽略。 严重程度:重要 影响范围 受影响版本: - Apache Tomcat 11.0.0-M1 至 11.0.4 - Apache Tomcat 10.1.0-M1 至 10.1.36 - Apache Tomcat 9.0.0-M1 至 9.0.100 - 其他不受支持的版本也可能受到影响 修复方案 缓解措施: - 升级到 Apache Tomcat 11.0.5 或更高版本 - 升级到 Apache Tomcat 10.1.37 或更高版本 - 升级到 Apache Tomcat 9.0.101 或更高版本 参考链接 Apache Tomcat Security - 11.html Apache Tomcat Security - 10.html Apache Tomcat Security - 9.html 历史 原始公告日期:2026-06-29 致谢 漏洞发现者:Ian Teyler 其他信息 报告人:Mark Thomas 报告日期:2026年6月30日 4:27:39 AM GMT+8 邮件列表:announce@tomcat.apache.org