4月29日、30日加拿大网路安全中心、香港网路安全事故协调中心先后提出警告，提醒大家留意网页服务器系统Tomcat版本更新公告，因为Apache基金会于4月8日推出11.0.6、10.1.40、9.0.104版，当中修补两项高风险漏洞CVE-2025-31651、CVE-2025-31650，CVSS风险分别为9.8、7.5（满分10分），由于这些漏洞可能导致安全功能绕过及服务中断，呼吁IT人员应儘速阅读Apache的公告内容，并套用必要的更新。由于3月下旬该基金会公布另一项漏洞CVE-2025-24813之后，很快就有概念验证程序码（PoC），并被用于攻击，因此Tomcat的相关漏洞揭露，特别值得留意。

这次Apache基金会修补的漏洞当中，被列为重大层级的是CVE-2025-31651，此为重新写入规则的绕过漏洞，攻击者有机会透过特製请求触发，从而绕过部分重新写入规则。值得留意的是，虽然Apache基金会初步认定这项漏洞危险性不高，但5月5日美国国家漏洞资料库（NVD）、网路安全暨基础设施安全局（CISA）皆认定这项漏洞相当危险，将其CVSS风险评为9.8分。

另一个漏洞CVE-2025-31650，则为阻断服务弱点，攻击者有机会藉由无效的HTTP优先请求标头（Priority Header）触发。此弱点发生的原因在于，Tomcat对于处理这类无效标头出现不正确及错误，导致请求失败后清除不完全，进而产生记忆体洩露的现象。攻击者若是发出大量的特製请求、触发上述漏洞，就会造成服务中断。