Apache Tomcat: CLIENT_CERT 身份验证在预期情况下未失败
影响软件
Apache Tomcat, Apache Tomcat Native
CWE
CWE-287: Improper Authentication
CVSS
9.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
受影响版本
Tomcat: 11.0.0-M1-11.0.18, 10.1.0-M7-10.1.52, 9.0.83-9.0.115; Tomcat Native: 1.1.23-1.1.34, 1.2.0-1.2.39, 1.3.0-1.3.6, 2.0.0-2.0.13
修复版本
Tomcat Native: 1.3.7, 2.0.14; Tomcat: 11.0.20, 10.1.53, 9.0.116
漏洞描述
### 漏洞概述 Apache Tomcat 和 Apache Tomcat Native 在处理 CLIENT_CERT 身份验证时存在缺陷。在禁用 soft fail(软失败)模式的特定场景下,身份验证过程不会按预期触发失败,这可能导致身份验证绕过。 ### 影响范围 - **Apache Tomcat**: 11.0.0-M1 至 11.0.18, 10.1.0-M7 至 10.1.52, 9.0.83 至 9.0.115 - **Apache Tomcat Native**: 1.1.23 至 1.1.34, 1.2.0 至 1.2.39, 1.3.0 至 1.3.6, 2.0.0 至 2.0.13 ### 利用条件 系统配置了 CLIENT_CERT 身份验证,并且显式禁用了 soft fail 选项。 ### 修复建议 建议用户升级到以下修复版本: - **Apache Tomcat Native**: 1.3.7 或 2.0.14 - **Apache Tomcat**: 11.0.20, 10.1.53 或 9.0.116 ### 参考链接 - https://nvd.nist.gov/vuln/detail/CVE-2026-29145 - https://github.com/advisories/GHSA-95jq-rwvf-vjx4
补充来源
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。