中文版 Global
首页 > 安全资讯 > 正文

Apache Tomcat 漏洞:实现远程代码执行(CVE-2026-34486),360已修复

  • 2026-04-20 11:28:58

Apache Tomcat 曝出高危加密绕过漏洞(CVE-2026-34486,CVSS 7.5),攻击者无需认证,仅需向集群通信端口发送构造数据,即可绕过加密校验并触发反序列化,实现远程代码执行(RCE)。

CVE-2026-34486 漏洞利用前置条件如下:

·         启用 Tribes 集群功能

·         配置 EncryptInterceptor

·         攻击者可访问集群通信端口(默认 4000)

·         存在可利用反序列化 Gadget(RCE 必要条件)

目前 360 漏洞研究院已成功复现该漏洞并验证了危害。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。

漏洞概述

漏洞名称

Apache Tomcat 集群加密绕过导致远程代码执行漏洞

漏洞编号

CVE-2026-34486

公开时间

2026/4/9

POC状态

未公开

漏洞类型

加密绕过

EXP状态

未公开

利用可能性

技术细节状态

已公开

CVSS 3.1

7.5

在野利用状态

未发现

 漏洞影响范围

受影响的软件版本:

Apache Tomcat 11.0.20

Apache Tomcat 10.1.53

Apache Tomcat 9.0.116

02

修复建议

正式防护方案

受影响用户应尽快升级至官方发布的最新安全版本:

Apache Tomcat 11.0.x 用户请升级至 11.0.21 或更高版本

Apache Tomcat 10.1.x 用户请升级至 10.1.54 或更高版本

Apache Tomcat 9.0.x 用户请升级至 9.0.117 或更高版本

 

03

漏洞描述

近日,安全研究人员披露了 Apache Tomcat 中存在的加密绕过漏洞(CVE-2026-34486)。该漏洞源于官方在修复 CVE-2026-29146 时引入的回归问题。具体表现为 EncryptInterceptor.messageReceived() 方法中异常处理逻辑发生错误调整,使得原本应在解密失败时丢弃数据的逻辑变为无条件继续执行。

攻击者可以构造未加密的恶意 Tribes 协议数据包,通过 TCP 端口发送至目标节点。当解密失败时,系统仅记录错误日志,但仍将原始数据继续传递至后续处理流程。最终数据进入反序列化逻辑(ObjectInputStream.readObject),若存在可利用的 Gadget 链,则可实现远程代码执行该漏洞无需认证、无需交互

04

漏洞复现

360漏洞研究院已成功复现 Apache Tomcat 集群加密绕过导致远程代码执行漏洞(CVE-2026-34486),通过反弹 Shell 验证该漏洞具备远程代码执行能力。

CVE-2026-34486

Apache Tomcat 集群加密绕过导致远程代码执行漏洞复

05

时间线 

2026年04月14日,360漏洞研究院发布本安全风险通告。

06

参考链接

https://lists.apache.org/thread/9510k5p5zdvt9pkkgtyp85mvwxo2qrly

https://nvd.nist.gov/vuln/detail/CVE-2026-34486

07

更多漏洞情报


建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。

邮箱:360VRI@360.cn

网址:https://vi.loudongyun.360.net

360集团官网:www.360.cn 

360安全卫士

热点排行

用户
反馈 返回
顶部