文章总结： ApacheTomcat在修复CVE-2026-29146加密漏洞时，因代码重构疏漏在9.0.116/10.1.53/11.0.20版本中引入更严重的未授权RCE漏洞CVE-2026-34486。攻击者可通过集群端口发送恶意序列化数据包直接执行远程代码。建议立即升级至11.0.21/10.1.54/9.0.117版本，或通过腾讯云主机安全应用保护与云防火墙进行防护。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,应用安全

Apache Tomcat RCE 漏洞来袭，腾讯云安全已支持防护​

原创

腾讯云安全 腾讯云安全

云鼎实验室

2026年4月15日 17:24 广东

在小说阅读器读本章

去阅读

漏洞描述：

ApacheTomcat是一款轻量、稳定、开源的Java Web服务器，严格遵循Servlet和JSP规范。其优势在于启动快、占用内存低，与Spring Boot等主流框架集成无缝，非常适合中小型应用和微服务架构开发，应用非常广泛。

Apache Tomcat中有一个EncryptInterceptor组件，负责在集群节点之间传输会话数据时进行加密保护，在Apache Tomcat 9.0.13 ～ 9.0.115、10.1.0-M1 ～ 10.1.52、11.0.0-M1 ～ 11.0.18中，存在一个密码学缺陷漏洞（CVE-2026-29146），攻击者可以借此还原出集群节点间传输的敏感会话数据。

Apache 官方在 2026 年 3 月 13 日发布了针对CVE-2026-29146的修复补丁，推出了Apache Tomcat 9.0.116、10.1.53、11.0.20，但是由于代码重构疏漏，集群通信中解密失败的消息仍被无条件转发至 Java 反序列化层，反而引入了更为严重的未授权 RCE 漏洞 CVE-2026-34486。由于没有任何类过滤，攻击者只需能访问集群监听端口（默认 4000），无需任何认证，发送一个包含恶意序列化对象的 Tribes 协议数据包即可触发未授权远程代码执行。

鉴于漏洞细节与 PoC 代码已公开，建议受影响用户立即采取修复措施，尽快升级到最新的版本或开启腾讯云安全主机安全应用保护（即 主机安全漏洞防御）和云防火墙全流量检测与响应进行防护。

漏洞详情:

漏洞名称：Apache Tomcat远程代码执行漏洞

漏洞编号：CVE-2026-34486

危害等级：高危

漏洞类型：应用漏洞

影响范围：

Apache Tomcat 11.0.20

Apache Tomcat 10.1.53

Apache Tomcat 9.0.116

参考链接 ：

https://lists.apache.org/thread/9510k5p5zdvt9pkkgtyp85mvwxo2qrly

处置建议:

官方修复方案：

官方已经发布补丁，请更新至最新版本：

Apache Tomcat 11.0.21

Apache Tomcat 10.1.54

Apache Tomcat 9.0.117

下载地址：

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

 腾讯云安全解决方案：

1、主机安全：开启应用保护（即 主机安全漏洞防御）进行防御，基于通用防御规则，无需任何更新，即可防御该漏洞

拦截结果演示：

产品界面展示：

2、云防火墙：使用全流量检测与响应进行威胁发现，支持检测对该漏洞的利用以及尝试，配合云防火墙可自动拦截

产品界面演示：

扫描二维码申请以上产品体验

END

更多精彩内容点击下方扫码关注哦~

关注云鼎实验室，获取更多安全情报

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云鼎实验室 腾讯云安全 腾讯云安全《Apache Tomcat RCE 漏洞来袭，腾讯云安全已支持防护​》