## Apache Tomcat 整数溢出漏洞 (CVE-2025-52520) 可绕过文件大小限制，导致拒绝服务攻击
Apache Tomcat 核心组件 Catalina 中发现一个高危整数溢出漏洞，攻击者可利用此漏洞绕过多部分文件上传的大小限制，从而对服务器发起拒绝服务攻击。该漏洞被标记为 CVE-2025-52520，CVSS v3.1 评分为 7.5 分（高危），影响范围广泛。

该漏洞存在于 `org.apache.tomcat.embed:tomcat-embed-core` 组件中，影响 Apache Tomcat 的多个主要版本。具体而言，从 11.0.0-M1 到 11.0.8，从 10.1.0-M1 到 10.1.42，以及从 9.0.0.M1 到 9.0.106 的版本均受影响。值得注意的是，在 CVE 创建时已结束生命周期但仍受影响的版本包括 8.5.0 到 8.5.100，更早的 EOL 版本也可能存在风险。漏洞的根本原因是 CWE-190（整数溢出或环绕），在特定且不太可能的多部分上传配置下被触发。

此漏洞允许远程攻击者在无需任何权限或用户交互的情况下，通过网络发起攻击，可能导致服务中断。虽然机密性和完整性未受影响，但可用性面临高风险。鉴于 Tomcat 作为广泛使用的 Java Web 应用服务器，此漏洞对依赖其构建的众多企业级应用和云服务构成了直接威胁。管理员需立即审查其部署的 Tomcat 版本，并应用相关安全更新以缓解风险。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Apache Tomcat, CVE-2025-52520, DoS, Integer Overflow, Web Security
- **Credibility**: unverified
- **Published**: 2026-04-14 02:22:25
- **ID**: 62930
- **URL**: https://whisperx.ai/en/intel/62930