Krytyczna luka w uwierzytelnianiu Apache Tomcat (CVE-2026-43512)

Wykryto krytyczną lukę w Apache Tomcat umożliwiającą ominięcie uwierzytelniania. Zalecana szybka aktualizacja do wersji naprawczych.
CVE-2026-43512CVSS 9.8Web

Krytyczna luka w uwierzytelnianiu Apache Tomcat (CVE-2026-43512)

Wykryto krytyczną lukę w Apache Tomcat umożliwiającą ominięcie uwierzytelniania. Zalecana szybka aktualizacja do wersji naprawczych.

CVSS
9.8 CRITICAL
EPSS
65.38%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto krytyczną lukę umożliwiającą ominięcie uwierzytelniania w mechanizmie digest authentication. Luka dotyczy wielu wersji Tomcata, w tym 7.0.0 i nowszych do określonych wydań 11.0.21, 10.1.54 oraz 9.0.117.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 9.8) może pozwolić atakującym na nieautoryzowany dostęp do aplikacji webowych działających na Tomcat, co stwarza ryzyko naruszenia danych i kontroli nad systemem. Operatorzy powinni traktować tę podatność priorytetowo, szczególnie w środowiskach produkcyjnych z wrażliwymi danymi.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę usuwającą lukę. W przypadku niemożności szybkiej aktualizacji, należy ograniczyć ekspozycję usług Tomcat, monitorować logi pod kątem podejrzanych prób uwierzytelniania oraz weryfikować polityki dostępu.

Źródła