12月17日Apache基金会发布网页服务器系统Tomcat更新11.0.2、10.1.34、9.0.98版，当中修补重大层级的远端程序码执行（RCE）漏洞CVE-2024-50379，事隔3日，他们再度发布资安公告指出，上述版本出现修补不完整的现象，呼吁IT人员要儘速採取行动。根据统计全球网路技术使用数据的组织W3C观察，12月採用Tomcat的网站比例低于0.04％，但它也是少数高流量网站最常採用的平台。

CVE-2024-50379是涉及检查时间及使用时间（TOCTOU）的弱点，发生在Tomcat编译JSP的过程，并在预设的servlet启用写入功能（非预设组态）的情况下，攻击者有机会藉由对相同文件同时上传及下载的情况下，绕过Tomcat的检查，此时上传的文件会被视为JSP程序，从而导致远端任意执行程序码的资安风险，CVSS风险评为9.8（满分10分）。

12月20日Apache基金会再度发布公告，他们发现上述新版程序修补并不完整，并将这项弱点登记为CVE-2024-56337。特别的是，该基金会并非再度发布新版软件予以修补，而是要求用户必须调整Java元件的部分组态来因应。