CVE-2026-34486: Luka w Apache Tomcat umożliwiająca brak szyfrowania danych wrażliwych

Wysokie ryzyko w Apache Tomcat (CVE-2026-34486) związane z brakiem szyfrowania danych wrażliwych. Zalecana szybka aktualizacja do najnowszych wersji.
CVE-2026-34486CVSS 7.5Web

CVE-2026-34486: Luka w Apache Tomcat umożliwiająca brak szyfrowania danych wrażliwych

Wysokie ryzyko w Apache Tomcat (CVE-2026-34486) związane z brakiem szyfrowania danych wrażliwych. Zalecana szybka aktualizacja do najnowszych wersji.

CVSS
7.5 HIGH
EPSS
96.48%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto lukę polegającą na braku szyfrowania danych wrażliwych, wynikającą z obejścia mechanizmu EncryptInterceptor po poprawce dla CVE-2026-29146. Luka dotyczy wersji 11.0.20, 10.1.53 oraz 9.0.116.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 7.5) może prowadzić do narażenia poufnych danych na przechwycenie lub nieautoryzowany dostęp, co stanowi poważne ryzyko dla bezpieczeństwa aplikacji webowych opartych na Apache Tomcat. Organizacje korzystające z podatnych wersji powinny niezwłocznie podjąć działania w celu ograniczenia potencjalnych szkód.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.21, 10.1.54 lub 9.0.117, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła