Apache Tomcat組件存在信息泄露漏洞，漏洞編號(hào)：CVE-2023-28708，漏洞威脅等級(jí)：高危。該漏洞是由于RemoteIpFilter接受攜帶X-Forwarded-Proto請(qǐng)求頭的通過(guò)反向代理的HTTP協(xié)議請(qǐng)求被設(shè)置為HTTPS時(shí)，Tomcat創(chuàng)建的會(huì)話(huà)或Cookie不包括安全屬性，這可能會(huì)導(dǎo)致用戶(hù)代理將Cookie或Session通過(guò)不安全的隧道傳輸。攻擊者可利用該漏洞在未授權(quán)的情況下泄漏Cookie或Session，最終造成服務(wù)器敏感性信息泄露。

Apache Tomcat軟件是Jakarta Servlet、Jakarta Server Pages、JakartaExpression Language、Jakarta WebSocket、Jakarta Annotations和Jakarta Authentication規(guī)范的開(kāi)源實(shí)現(xiàn)。Apache Tomcat實(shí)現(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持，并提供了作為Web服務(wù)器的一些特有功能，如Tomcat管理和控制平臺(tái)、安全域管理和Tomcat閥等。

（一）漏洞影響范圍：

目前受影響的Apache Tmocat版本：

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.5

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.71

8.5.0 ≤ Apache Tomcat ≤ 8.5.85

（二）漏洞修復(fù)建議：

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶(hù)及時(shí)更新升級(jí)到最新版本。各個(gè)版本鏈接如下：

Apache Tomcat 11系列:

https://tomcat.apache.org/download-11.cgi

Apache Tomcat 10系列:

https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9系列:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8系列:

https://tomcat.apache.org/download-80.cgi