文章总结： Apache软件基金会紧急修复Tomcat中的三个漏洞：CVE-2026-29146存在填充预言机攻击风险，后续补丁引入CVE-2026-34486导致EncryptInterceptor完全绕过，CVE-2026-34500影响OCSP证书验证。受影响版本包括Tomcat9.0.13-9.0.116、10.1.0-M1-10.1.53、11.0.0-M1-11.0.20。建议立即升级至9.0.117+、10.1.54+或11.0.21+版本，停止支持的旧版本需迁移至受支持分支。 综合评分： 82 文章分类： 漏洞分析,应急响应,漏洞预警,解决方案,应用安全

Apache Tomcat 紧急修复多个漏洞

Abinaya Abinaya

代码卫士

2026年4月14日 18:16 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache软件基金会发布紧急更新，修复了位于 Apache Tomcat 中的多个漏洞。

在这些漏洞中，其中一个是严重的补丁错误，可导致服务器面临拦截绕过的风险，其它问题与影响证书认证和填充预言机攻击有关。管理员必须立即更新部署，保护环境免受潜在利用。

EncryptInterceptor 绕过与填充预言机攻击

其中最需紧急修复的问题源于一个有缺陷的安全补丁。最初，安全研究人员发现了“重要”级别的漏洞 CVE-2026-29146，其问题在于 EncryptInterceptor 默认使用了密码块链接 (CBC) 模式。该配置使服务器易受填充预言机攻击，可能导致恶意人员解密被截获的通信流量。

Oligo Security 公司的研究人员 Uri Katz 和 Avi Lumelsky 发现并报告了这一初始的加密弱点。为解决填充预言机威胁，Apache 发布了一轮初始更新。然而，该补丁引入了一个新的、同等严重的漏洞CVE-2026-34486。新漏洞由 striga.ai 的 Bartlomiej Dmitruk 发现，可导致攻击者完全绕过 EncryptInterceptor。由于初始补丁存在缺陷，运行中间更新版本的组织当前正暴露于该绕过机制的风险之下。

除了 EncryptInterceptor 相关问题外，Apache 还修复了一个“中等”严重程度的漏洞 CVE-2026-34500。该漏洞影响 Tomcat 中的在线证书状态协议（OCSP）检查功能。

在特定条件下，当使用外部函数与内存 (FFM）API 时，系统在 OCSP 验证期间会出现管理员已明确禁用的软失败行为。结果导致CLIENT_CERT 认证未能按预期失败，产生了意外的认证行为，可能危及访问控制。

早稻田大学的研究人员 Haruki Oyama 发现并报告了这一证书验证错误（CVE-2026-34500）。这些漏洞影响多个 Apache Tomcat 分支，可导致 EncryptInterceptor 被绕过的有缺陷补丁（CVE-2026-34486）。具体影响以下版本：

• Apache Tomcat 11.0.20
• Apache Tomcat 10.1.53
• Apache Tomcat 9.0.116

这三个漏洞（包括最初的填充预言机攻击及证书验证失败）影响更多早期版本：

• Apache Tomcat 11.0.0-M1 至 11.0.20
• Apache Tomcat 10.1.0-M1 至 10.1.53
• Apache Tomcat 9.0.13 至 9.0.116

为全部修复这三个漏洞（包括有缺陷的 EncryptInterceptor 补丁及 OCSP 证书验证失败），管理员必须将其系统升级至最新的安全版本。

Apache 软件基金会强烈建议应用以下更新：

• 将 Apache Tomcat 11.x 部署升级至 11.0.21 或更高版本
• 将 Apache Tomcat 10.x 部署升级至 10.1.54 或更高版本
• 将 Apache Tomcat 9.x 部署升级至 9.0.117 或更高版本

运行已停止支持的旧版本Tomcat 的组织机构应立即迁移至仍在支持的分支，因为这些遗留系统不会收到针对填充预言机攻击及后续绕过漏洞的补丁。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令

Apache Syncope 漏洞可用于劫持用户会话

Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据

Apache StreamPipes 严重漏洞可用于获取管理员权限

速修复！Apache Tika 中存在严重的满分XXE 漏洞

原文链接

Apache Tomcat Vulnerabilities Enables Bypass of EncryptInterceptor

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《Apache Tomcat 紧急修复多个漏洞》