Luka Padding Oracle w Apache Tomcat
Wysokie ryzyko luki Padding Oracle w Apache Tomcat. Zalecana aktualizacja do wersji 11.0.19, 10.1.53 lub 9.0.116 w celu zabezpieczenia systemu.
- CVSS
- 7.5 HIGH
- EPSS
- 87.72%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto lukę typu Padding Oracle w komponencie EncryptInterceptor przy domyślnej konfiguracji, umożliwiającą potencjalne odszyfrowanie danych. Luka dotyczy wielu wersji Tomcat od 7.0.100 do 11.0.18.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 7.5) może pozwolić atakującym na odszyfrowanie chronionych danych, co zagraża poufności informacji i bezpieczeństwu aplikacji webowych opartych na Tomcat. Operatorzy powinni traktować tę podatność priorytetowo, aby uniknąć potencjalnych naruszeń danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 11.0.19, 10.1.53 lub 9.0.116, które zawierają poprawkę usuwającą lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz zaplanować priorytetowe wdrożenie łat.