Luka Padding Oracle w Apache Tomcat

Wysokie ryzyko luki Padding Oracle w Apache Tomcat. Zalecana aktualizacja do wersji 11.0.19, 10.1.53 lub 9.0.116 w celu zabezpieczenia systemu.
CVE-2026-29146CVSS 7.5Web

Luka Padding Oracle w Apache Tomcat

Wysokie ryzyko luki Padding Oracle w Apache Tomcat. Zalecana aktualizacja do wersji 11.0.19, 10.1.53 lub 9.0.116 w celu zabezpieczenia systemu.

CVSS
7.5 HIGH
EPSS
87.72%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto lukę typu Padding Oracle w komponencie EncryptInterceptor przy domyślnej konfiguracji, umożliwiającą potencjalne odszyfrowanie danych. Luka dotyczy wielu wersji Tomcat od 7.0.100 do 11.0.18.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 7.5) może pozwolić atakującym na odszyfrowanie chronionych danych, co zagraża poufności informacji i bezpieczeństwu aplikacji webowych opartych na Tomcat. Operatorzy powinni traktować tę podatność priorytetowo, aby uniknąć potencjalnych naruszeń danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 11.0.19, 10.1.53 lub 9.0.116, które zawierają poprawkę usuwającą lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz zaplanować priorytetowe wdrożenie łat.

Źródła