CVE-2018-11759 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Tomcat JK (mod_jk) 连接器存在**路径遍历**缺陷。 📉 **后果**：攻击者可利用构造的请求，通过反向代理**暴露未授权的应用功能**，甚至**绕过访问控制**，导致敏感信息泄露。

🔍 **缺陷点**：Apache Web Server (httpd) 在将请求路径与 URI-worker 映射匹配前，**路径规范化处理不当**。 ⚠️ **CWE**：数据中未明确指定 CWE ID，但核心问题是**路径遍历/规范化绕过**。

📦 **组件**：Apache Tomcat Connectors (mod_jk)。 📅 **版本**：**1.2.0 至 1.2.44** 版本均受影响。 🏢 **厂商**：Apache Software Foundation。

🕵️ **黑客能力**： 1. **功能暴露**：访问本应仅通过反向代理受限的功能。 2. **权限绕过**：在特定配置下，绕过 httpd 配置的访问控制。 3. **信息泄露**：获取非预期的应用数据。

🔓 **利用门槛**：**中等**。 🔑 **前提**：需部署了 mod_jk 作为反向代理，且仅暴露了 Tomcat 的部分 URL 子集。 🚫 **认证**：无需认证，直接通过构造恶意请求即可触发。

💻 **现成 Exp**：**有**。 🔗 **PoC 链接**：GitHub 上存在多个 Proof of Concept，如 `immunIT/CVE-2018-11759` 和 `Jul10l1r4/Identificador-CVE-2018-11759`。 🤖 **扫描器**：ProjectDiscovery Nuclei 模板已支持检测。

🔎 **自查方法**： 1. **版本检查**：确认 mod_jk 版本是否在 1.2.0-1.2.44 之间。 2. **扫描检测**：使用 Nuclei 模板或专门针对 CVE-2018-11759 的扫描器。 3. **日志分析**：监控是否有异常的路径遍历请求尝试绕过代理规则。

🛡️ **官方修复**：**已修复**。 📜 **依据**：参考邮件列表中的 SVN 提交记录（如 r1857494, r1873980），Apache 已发布补丁修复路径规范化问题。 📢 **建议**：升级至受影响版本之后的最新稳定版。

🚧 **临时规避**： 1. **升级组件**：最直接方式，升级 mod_jk 至修复版本。 2. **配置加固**：检查 httpd 反向代理配置，确保严格限制可访问的 URL 子集，避免暴露内部功能。 3. **WAF 防护**：部署 WAF 拦截包含路径遍历特征（如 `../`）的恶意请求。

⚡ **优先级**：**高**。 📅 **时间**：2018年10月31日公开，虽已过去多年，但若系统未升级，仍面临**权限绕过**和**信息泄露**风险。 💡 **建议**：立即核查版本并升级，特别是对外提供服务的反向代理环境。