2.4.6的漏洞版本，导致在特定条件下可以绕过正常的请求处理流程。 由于 Apache httpd 在将请求转发到后端 AJP 服务器之前移除了 "Content-Length" 头，攻击者可以通过发送带有特定 "Content-Length" 和 "Transfer-Encoding" 头的请求，来控制后端服务器的请求处理流程。 看似影响较小的请求走私漏洞，在两个不同服务将认证责任相互转嫁时，可能会成为一个严重的问题。发送“前端”认为已经处理过认证的请求到“后端”服务，会导致出现一些出乎意料的后果。而这种不一致是导致此次漏洞产生的重要成因之一。

请关注厂商的修复版本，并及时更新到最新版本.