漏洞概述
Apache Tomcat存在不当资源关闭或释放漏洞(CVE-2025-61795)。当处理多部分上传过程中发生错误(包括超出限制)时,写入磁盘的上传部分临时副本未能立即清理,而是留给垃圾回收进程删除。
影响版本
受影响版本
- 11.0.0-M1 至 11.0.11
- 10.1.0-M1 至 10.1.46
- 9.0.0.M1 至 9.0.109
- 8.5.0 至 8.5.100(已终止支持)
已修复版本
- 11.0.12 或更高版本
- 10.1.47 或更高版本
- 9.0.110 或更高版本
技术细节
漏洞机制
根据JVM设置、应用程序内存使用情况和应用程序负载,上传部分临时副本占用的空间可能比垃圾回收清理的速度更快,从而导致拒绝服务(DoS)情况。
严重程度
- 严重等级:低
- CVSS评分:2.3
- 攻击向量:网络
- 影响范围:可用性高,机密性和完整性无影响
修复建议
用户建议升级到以下版本之一以修复此问题:
- Apache Tomcat 11.0.12 或更高版本
- Apache Tomcat 10.1.47 或更高版本
- Apache Tomcat 9.0.110 或更高版本