Apache Tomcat 漏洞:实现远程代码执行(CVE-2026-34486),360已修复
- 2026-04-20 11:28:58
Apache Tomcat 曝出高危加密绕过漏洞(CVE-2026-34486,CVSS 7.5),攻击者无需认证,仅需向集群通信端口发送构造数据,即可绕过加密校验并触发反序列化,实现远程代码执行(RCE)。
CVE-2026-34486 漏洞利用前置条件如下:
· 启用 Tribes 集群功能
· 配置 EncryptInterceptor
· 攻击者可访问集群通信端口(默认 4000)
· 存在可利用反序列化 Gadget(RCE 必要条件)
目前 360 漏洞研究院已成功复现该漏洞并验证了危害。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。
漏洞概述 | |||
漏洞名称 | Apache Tomcat 集群加密绕过导致远程代码执行漏洞 | ||
漏洞编号 | CVE-2026-34486 | ||
公开时间 | 2026/4/9 | POC状态 | 未公开 |
漏洞类型 | 加密绕过 | EXP状态 | 未公开 |
利用可能性 | 高 | 技术细节状态 | 已公开 |
CVSS 3.1 | 7.5 | 在野利用状态 | 未发现 |
漏洞影响范围
受影响的软件版本:
Apache Tomcat 11.0.20
Apache Tomcat 10.1.53
Apache Tomcat 9.0.116
02
修复建议
正式防护方案
受影响用户应尽快升级至官方发布的最新安全版本:
Apache Tomcat 11.0.x 用户请升级至 11.0.21 或更高版本
Apache Tomcat 10.1.x 用户请升级至 10.1.54 或更高版本
Apache Tomcat 9.0.x 用户请升级至 9.0.117 或更高版本
03
漏洞描述
近日,安全研究人员披露了 Apache Tomcat 中存在的加密绕过漏洞(CVE-2026-34486)。该漏洞源于官方在修复 CVE-2026-29146 时引入的回归问题。具体表现为 EncryptInterceptor.messageReceived() 方法中异常处理逻辑发生错误调整,使得原本应在解密失败时丢弃数据的逻辑变为无条件继续执行。
攻击者可以构造未加密的恶意 Tribes 协议数据包,通过 TCP 端口发送至目标节点。当解密失败时,系统仅记录错误日志,但仍将原始数据继续传递至后续处理流程。最终数据进入反序列化逻辑(ObjectInputStream.readObject),若存在可利用的 Gadget 链,则可实现远程代码执行。该漏洞无需认证、无需交互。
04
漏洞复现
360漏洞研究院已成功复现 Apache Tomcat 集群加密绕过导致远程代码执行漏洞(CVE-2026-34486),通过反弹 Shell 验证该漏洞具备远程代码执行能力。
CVE-2026-34486
Apache Tomcat 集群加密绕过导致远程代码执行漏洞复
05
时间线
2026年04月14日,360漏洞研究院发布本安全风险通告。
06
参考链接
https://lists.apache.org/thread/9510k5p5zdvt9pkkgtyp85mvwxo2qrly
https://nvd.nist.gov/vuln/detail/CVE-2026-34486
07
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
邮箱:360VRI@360.cn
网址:https://vi.loudongyun.360.net
360集团官网:www.360.cn
