漏洞概述 漏洞名称: CVE-2026-50229 Apache Tomcat - XXS in number guess example 严重程度: 低 描述: 由于通配符属性映射在某些属性中导致,这些属性本应是内部使用的,但被暴露给客户端,允许进行XXS攻击。 影响范围 受影响版本: - Apache Tomcat 11.0.0-M1 至 11.0.22 - Apache Tomcat 10.1.0-M1 至 10.1.55 - Apache Tomcat 9.0.0-M1 至 9.0.118 - 其他未支持的版本也可能受到影响 修复方案 缓解措施: - 升级到 Apache Tomcat 11.0.23 或更高版本 - 升级到 Apache Tomcat 10.1.56 或更高版本 - 升级到 Apache Tomcat 9.0.119 或更高版本 参考链接 Apache Tomcat Security 11 Apache Tomcat Security 10 Apache Tomcat Security 9 历史 原始公告日期: 2026-06-29 致谢 发现者: - Eichen, Institute of Computing Technology, Chinese Academy of Sciences - Yashar Shahinzadeh - Amirreza Mohammadi 其他信息 发布日期: 2026年6月30日 发布人: Mark Thomas