CVE-2026-34486: Luka w Apache Tomcat umożliwiająca brak szyfrowania danych wrażliwych
Wysokie ryzyko w Apache Tomcat (CVE-2026-34486) związane z brakiem szyfrowania danych wrażliwych. Zalecana szybka aktualizacja do najnowszych wersji.
- CVSS
- 7.5 HIGH
- EPSS
- 96.48%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto lukę polegającą na braku szyfrowania danych wrażliwych, wynikającą z obejścia mechanizmu EncryptInterceptor po poprawce dla CVE-2026-29146. Luka dotyczy wersji 11.0.20, 10.1.53 oraz 9.0.116.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 7.5) może prowadzić do narażenia poufnych danych na przechwycenie lub nieautoryzowany dostęp, co stanowi poważne ryzyko dla bezpieczeństwa aplikacji webowych opartych na Apache Tomcat. Organizacje korzystające z podatnych wersji powinny niezwłocznie podjąć działania w celu ograniczenia potencjalnych szkód.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.21, 10.1.54 lub 9.0.117, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.