Apache Tomcat組件存在HTTP請求走私漏洞（CVE-2022-42252）。在關閉rejectIllegalHeader的條件下，攻擊者可利用該漏洞構造惡意HTTP Header在未授權的情況執(zhí)行釣魚攻擊。

Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應用服務器。該程序實現(xiàn)了對Servlet和JavaServer Page（JSP）的支持。

（一）漏洞影響范圍：

10.0.0 ≤ Apache Tomcat ≤ 10.0.26

10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20

9.0.0 ≤ Apache Tomcat ≤ 9.0.67

8.5.0 ≤ Apache Tomcat ≤ 8.5.82

（二）官方修復建議：

官方已經(jīng)發(fā)布受影響版本的對應補丁，建議受影響的用戶及時更新官方的安全補丁，詳細信息如下：

Apache Tomcat系列10

https://tomcat.apache.org/download-10.cgi

Apache Tomcat系列9

https://tomcat.apache.org/download-90.cgi

Apache Tomcat系列8

https://tomcat.apache.org/download-80.cgi