Krytyczna luka w uwierzytelnianiu Apache Tomcat (CVE-2026-43512)
Wykryto krytyczną lukę w Apache Tomcat umożliwiającą ominięcie uwierzytelniania. Zalecana szybka aktualizacja do wersji naprawczych.
- CVSS
- 9.8 CRITICAL
- EPSS
- 65.38%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto krytyczną lukę umożliwiającą ominięcie uwierzytelniania w mechanizmie digest authentication. Luka dotyczy wielu wersji Tomcata, w tym 7.0.0 i nowszych do określonych wydań 11.0.21, 10.1.54 oraz 9.0.117.
Wpływ biznesowy
Luka o wysokim poziomie zagrożenia (CVSS 9.8) może pozwolić atakującym na nieautoryzowany dostęp do aplikacji webowych działających na Tomcat, co stwarza ryzyko naruszenia danych i kontroli nad systemem. Operatorzy powinni traktować tę podatność priorytetowo, szczególnie w środowiskach produkcyjnych z wrażliwymi danymi.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę usuwającą lukę. W przypadku niemożności szybkiej aktualizacji, należy ograniczyć ekspozycję usług Tomcat, monitorować logi pod kątem podejrzanych prób uwierzytelniania oraz weryfikować polityki dostępu.