Krytyczna luka w uwierzytelnianiu CLIENT_CERT w Apache Tomcat

Wykryto krytyczną lukę w uwierzytelnianiu CLIENT_CERT w Apache Tomcat. Zalecana szybka aktualizacja do najnowszych wersji Tomcat i Tomcat Native.
CVE-2026-29145CVSS 9.1Web

Krytyczna luka w uwierzytelnianiu CLIENT_CERT w Apache Tomcat

Wykryto krytyczną lukę w uwierzytelnianiu CLIENT_CERT w Apache Tomcat. Zalecana szybka aktualizacja do najnowszych wersji Tomcat i Tomcat Native.

CVSS
9.1 CRITICAL
EPSS
49.2%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat i Apache Tomcat Native wykryto poważną lukę, gdzie uwierzytelnianie CLIENT_CERT nie kończy się niepowodzeniem w oczekiwany sposób w niektórych scenariuszach przy wyłączonym trybie soft fail. Luka dotyczy wielu wersji Tomcat i Tomcat Native.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.1) może pozwolić na obejście mechanizmów uwierzytelniania, co zagraża bezpieczeństwu aplikacji webowych opartych na Tomcat. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może prowadzić do nieautoryzowanego dostępu i naruszenia integralności systemów.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji do wersji Apache Tomcat 11.0.20, 10.1.53 lub 9.0.116 oraz Apache Tomcat Native 1.3.7 lub 2.0.14, które zawierają poprawki usuwające tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję usług, monitorować logi uwierzytelniania oraz przygotować plan szybkiego wdrożenia poprawek.

Źródła