Apache Tomcat组件存在HTTP请求走私漏洞（CVE-2022-42252）。在关闭rejectIllegalHeader的条件下，攻击者可利用该漏洞构造恶意HTTP Header在未授权的情况执行钓鱼攻击。

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。

（一）漏洞影响范围：

10.0.0 ≤ Apache Tomcat ≤ 10.0.26

10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20

9.0.0 ≤ Apache Tomcat ≤ 9.0.67

8.5.0 ≤ Apache Tomcat ≤ 8.5.82

（二）官方修复建议：

官方已经发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁，详细信息如下：

Apache Tomcat系列10

https://tomcat.apache.org/download-10.cgi

Apache Tomcat系列9

https://tomcat.apache.org/download-90.cgi

Apache Tomcat系列8

https://tomcat.apache.org/download-80.cgi