Krytyczna luka w uwierzytelnianiu CLIENT_CERT w Apache Tomcat
Wykryto krytyczną lukę w uwierzytelnianiu CLIENT_CERT w Apache Tomcat. Zalecana szybka aktualizacja do najnowszych wersji Tomcat i Tomcat Native.
- CVSS
- 9.1 CRITICAL
- EPSS
- 49.2%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat i Apache Tomcat Native wykryto poważną lukę, gdzie uwierzytelnianie CLIENT_CERT nie kończy się niepowodzeniem w oczekiwany sposób w niektórych scenariuszach przy wyłączonym trybie soft fail. Luka dotyczy wielu wersji Tomcat i Tomcat Native.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.1) może pozwolić na obejście mechanizmów uwierzytelniania, co zagraża bezpieczeństwu aplikacji webowych opartych na Tomcat. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może prowadzić do nieautoryzowanego dostępu i naruszenia integralności systemów.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji do wersji Apache Tomcat 11.0.20, 10.1.53 lub 9.0.116 oraz Apache Tomcat Native 1.3.7 lub 2.0.14, które zawierają poprawki usuwające tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję usług, monitorować logi uwierzytelniania oraz przygotować plan szybkiego wdrożenia poprawek.