Apache Tomcat組件存在HTTP請求走私漏洞（CVE-2022-42252）。在關(guān)閉rejectIllegalHeader的條件下，攻擊者可利用該漏洞構(gòu)造惡意HTTP Header在未授權(quán)的情況執(zhí)行釣魚攻擊。

Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page（JSP）的支持。

（一）漏洞影響范圍：

10.0.0 ≤ Apache Tomcat ≤ 10.0.26

10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20

9.0.0 ≤ Apache Tomcat ≤ 9.0.67

8.5.0 ≤ Apache Tomcat ≤ 8.5.82

（二）官方修復(fù)建議：

官方已經(jīng)發(fā)布受影響版本的對應(yīng)補(bǔ)丁，建議受影響的用戶及時更新官方的安全補(bǔ)丁，詳細(xì)信息如下：

Apache Tomcat系列10

https://tomcat.apache.org/download-10.cgi

Apache Tomcat系列9

https://tomcat.apache.org/download-90.cgi

Apache Tomcat系列8

https://tomcat.apache.org/download-80.cgi