CGI servlet实现中出现安全漏洞

安全研究员近日在Apache Tomcat的CGI servlet实现中发现了一个新的安全漏洞，该漏洞允许攻击者在特定条件下绕过配置的安全约束。该漏洞被命名为CVE-2025-46701，影响了流行的Java应用服务器的多个版本。该缺陷源于Apache Tomcat的CGI servlet中对大小写敏感性处理不当。当Tomcat在带有为pathInfo组件配置的安全约束的不区分大小写的文件系统上运行时，特制的url可以绕过这些保护措施。