官方原文对于该漏洞的描述：

When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1.5, 9.0.0-M1 to 9.0.71 and 8.5.0 to 8.5.85 did not include the secure attribute. This could result in the user agent transmitting the session cookie over an insecure channel.

翻译如下：

当RemoteIpFilter和HTTP反向代理一起使用时，如果请求中包含设置为https的X-Forwarded-Proto标头，则11.0.0-M1 到 11.0.0.-M2, 10.1.0-M1 到 10.1.5, 9.0.0-M1 到 9.0.71以及 8.5.0 版本 8.5.85版本的 Tomcat 所创建的会话cookie未包括secure属性，可能导致用户代理通过不安全的通道传输会话cookie，造成敏感信息泄露。

CVE-ID：

        CVE-2023-28708

风险等级：

        Important

受影响版本：

•  Apache Tomcat 11.0.0-M1 ～ 11.0.0-M2
• Apache Tomcat 10.1.0-M1 ～ 10.1.5
• Apache Tomcat  9.0.0-M1 ～ 9.0.71
• Apache Tomcat  8.5.0 ～ 8.5.85

安全版本：

•  Apache Tomcat 8.5.86 +（最新正式版本：8.5.89）
•  Apache Tomcat 9.0.72 +（最新正式版本：9.0.75）
•  Apache Tomcat 10.1.6 +（最新正式版本：10.1.9）
•  Apache Tomcat 11.0.0-M3（最新测试版本：11.0.0-M6）---注意，11.x 版本目前还是alpha测试版，不要在生产环境上使用！

参考：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28708

https://tomcat.apache.org/security.html