CVE-2026-34500Apache Tomcat在特定配置场景下存在安全漏洞。当系统禁用了软失败模式并使用FFM时,CLIENT_CERT认证机制未能按预期对无效请求进行拦截。这可能导致未经身份验证的攻击者绕过客户端证书验证,从而访问受保护的Web资源。该漏洞影响了多个Tomcat版本分支,建议管理员尽快评估风险并应用官方提供的修复补丁。
该漏洞源于Apache Tomcat在处理SSL/TLS客户端证书认证时的逻辑缺陷。在受影响版本中,当Tomcat配置为要求客户端证书认证(CLIENT_CERT),并且同时满足“软失败”被禁用以及启用了FFM(Foreign Function Memory相关功能或特定特性)的条件时,认证校验流程存在异常。正常情况下,若客户端未提供有效证书,服务器应终止连接或返回错误。然而,由于此漏洞,服务器错误地允许了请求通过。攻击者可利用网络向量(AV:N),无需用户交互(UI:N)且无需任何预先认证(PR:N),即可发起攻击。成功利用此漏洞可能导致敏感信息泄露(机密性影响高)以及低程度的完整性破坏。