CVE-2009-0580 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Tomcat 表单认证（FORM Authentication）存在**用户名枚举**漏洞。 💥 **后果**：攻击者可通过非法 URL 编码的口令，判断目标系统中**是否存在特定用户名**，导致敏感信息泄露。

🔍 **缺陷点**：认证类中的**不充分错误检查**。 📉 **CWE**：数据未提供具体 CWE ID，但核心逻辑为**输入验证缺失**导致的状态泄露。

📦 **受影响组件**：Apache Tomcat。 ⚙️ **特定配置**：仅影响使用以下 Realm 进行基于表单认证（j_security_check）的场景： - **MemoryRealm** - **DataSourceRealm** - **JDBCRealm**

🕵️ **黑客能力**：执行**用户枚举攻击**。 📊 **数据风险**：确认**用户名是否存在**，为后续暴力破解或定向攻击提供情报支持。

🚪 **利用门槛**：中等。 🔑 **前置条件**： 1. 目标使用 **FORM 认证**。 2. 配置了上述三种 Realm 之一。 3. 攻击者需提交**非法 URL 编码的口令**触发差异响应。

💣 **Exp/PoC**：提供的数据中 **pocs 字段为空**。 🌐 **在野利用**：数据未明确提及在野利用情况，但存在多个安全厂商（HP, Secunia, VMware）的 advisories，说明已被关注。

🔎 **自查方法**： 1. 检查 Tomcat 配置是否启用 **j_security_check**。 2. 确认 Realm 类型是否为 **Memory/DataSource/JDBCRealm**。 3. 尝试发送特殊编码的认证请求，观察服务器返回的**错误信息差异**（如用户名不存在 vs 密码错误）。

🛠️ **官方修复**：数据中 references 包含 Apache 邮件列表的 commit 记录（r1856174），暗示**已有修复方案**或文档更新。 📅 **发布时间**：2009-06-05，属于**历史漏洞**。

🛡️ **临时规避**： 1. **升级** Tomcat 至修复版本。 2. 若无法升级，考虑更换认证 Realm 类型或实施**WAF 规则**拦截异常编码请求。 3. 统一认证失败的**返回消息**，消除枚举差异。

⚡ **优先级**：低（针对当前环境）。 📅 **背景**：发布于 **2009年**，属于极老旧漏洞。 💡 **建议**：若仍在使用该版本，**立即升级**；若已更新，此条可作为历史资产梳理参考。