漏洞描述
Apache Tomcat 在 JSP 编译期间存在 Time-of-check Time-of-use (TOCTOU) Race Condition 漏洞,当默认 Servlet 被启用以进行写操作时(非默认配置),在不区分大小写的文件系统上可能导致远程代码执行(RCE)。该问题影响的 Apache Tomcat 版本为:11.0.0-M1 到 11.0.1、10.1.0-M1 到 10.1.33、9.0.0.M1 到 9.0.97。注意:老版本 Tomcat 也会受到影响,但官方没有提及。该漏洞和 CVE-2024-50379 相似,官方初始漏洞修复方案不完善。