Apache基金會修補Tomcat高風險資安漏洞

4月29日、30日加拿大網路安全中心、香港網路安全事故協調中心先後提出警告，提醒大家留意網頁伺服器系統Tomcat版本更新公告，因為Apache基金會於4月8日推出11.0.6、10.1.40、9.0.104版，當中修補兩項高風險漏洞CVE-2025-31651、CVE-2025-31650，CVSS風險分別為9.8、7.5（滿分10分），由於這些漏洞可能導致安全功能繞過及服務中斷，呼籲IT人員應儘速閱讀Apache的公告內容，並套用必要的更新。由於3月下旬該基金會公布另一項漏洞CVE-2025-24813之後，很快就有概念驗證程式碼（PoC），並被用於攻擊，因此Tomcat的相關漏洞揭露，特別值得留意。

這次Apache基金會修補的漏洞當中，被列為重大層級的是CVE-2025-31651，此為重新寫入規則的繞過漏洞，攻擊者有機會透過特製請求觸發，從而繞過部分重新寫入規則。值得留意的是，雖然Apache基金會初步認定這項漏洞危險性不高，但5月5日美國國家漏洞資料庫（NVD）、網路安全暨基礎設施安全局（CISA）皆認定這項漏洞相當危險，將其CVSS風險評為9.8分。

另一個漏洞CVE-2025-31650，則為阻斷服務弱點，攻擊者有機會藉由無效的HTTP優先請求標頭（Priority Header）觸發。此弱點發生的原因在於，Tomcat對於處理這類無效標頭出現不正確及錯誤，導致請求失敗後清除不完全，進而產生記憶體洩露的現象。攻擊者若是發出大量的特製請求、觸發上述漏洞，就會造成服務中斷。