关于Apache Tomcat远程代码执行漏洞（CVE-2026-34486）的预警提示

发布时间：2026-04-17浏览次数：10

一、漏洞详情 Apache Tomcat是一个开源的 Web 服务器和 Servlet 容器，广泛用于Web应用的部署和运行。 近日，监测到官方修复Apache Tomcat 远程代码执行漏洞(CVE-2026-34486)，该漏洞的出现与针对CVE-2026-29146的修复补丁有关。在对EncryptInterceptor组件进行安全加固时，消息接收方法messageReceived()内部的异常处理流程发生了改变，这导致了当接收到的集群通信数据无法正常解密时，代码路径未能终止当前请求的处理，而是忽略了该异常状态并继续将原始的、未经解密验证的数据向后续处理环节传递。在启用Tribes集群并配置加密拦截器的场景下，远程攻击者能够向集群监听端口（默认为4000）提交特制的协议报文，且该报文无需遵守正常的加密规范。若当前应用环境或依赖库中已存在可利用的Gadget类，攻击者便获得了在服务器进程上下文中执行任意系统命令或代码的能力。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Apache Tomcat 11.0.20 Apache Tomcat 10.1.53 Apache Tomcat 9.0.116 三、修复建议 官方已发布安全补丁，请及时更新至最新版本： Apache Tomcat >= 11.0.21 Apache Tomcat >= 10.1.54 Apache Tomcat >= 9.0.117