Sam Shahsavar

**Nome do software vulnerável e versões afetadas** Versões do Apache Tomcat 8.5.0 a 8.5.82 Versões do Apache Tomcat 9.0.0-M1 a 9.0.67 Versões do Apache Tomcat 10.0.0-M1 a 10.0.26 Versões do Apache Tomcat 10.1.0-M1 a 10.1.0 **Descrição** O problema está relacionado à implementação do atributo `rejectIllegalHeader` no Apache Tomcat, o que pode levar a ataques de contrabando de solicitações HTTP quando o servidor está configurado para ignorar cabeçalhos HTTP inválidos e está localizado atrás de um proxy reverso que também não rejeita tais solicitações. Isso pode permitir que um invasor remoto envie solicitações HTTP ocultas. A configuração `rejectIllegalHeader`, quando definida como `false`, permite que o Tomcat processe solicitações com cabeçalhos `Content-Length` inválidos, tornando o ataque possível. **Recomendações** Para as versões do Apache Tomcat 8.5.0 a 8.5.82, atualize a configuração para definir `rejectIllegalHeader` como `true` ou atualize para uma versão em que essa seja a configuração padrão. Para as versões do Apache Tomcat 9.0.0-M1 a 9.0.67, certifique-se de que `rejectIllegalHeader` esteja definido como `true` e considere atualizar para uma versão mais recente. Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.26, defina `rejectIllegalHeader` como `true` e considere atualizar. Para as versões do Apache Tomcat 10.1.0-M1 a 10.1.0, defina `rejectIllegalHeader` como `true` e considere atualizar para uma versão em que essa vulnerabilidade tenha sido corrigida. Como solução alternativa temporária, considere restringir o acesso ao servidor ou desativar o processamento de solicitações com `Co` inválido