Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłową autoryzację

Krytyczna luka w Apache Tomcat (CVE-2026-43515) umożliwia obejście autoryzacji. Zalecana szybka aktualizacja do wersji 11.0.22, 10.1.55 lub 9.0.118.
CVE-2026-43515CVSS 9.1Web

Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłową autoryzację

Krytyczna luka w Apache Tomcat (CVE-2026-43515) umożliwia obejście autoryzacji. Zalecana szybka aktualizacja do wersji 11.0.22, 10.1.55 lub 9.0.118.

CVSS
9.1 CRITICAL
EPSS
62.62%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto poważną lukę bezpieczeństwa związaną z nieprawidłową autoryzacją, gdy wiele ograniczeń metod definiuje tę samą metodę HTTP dla jednego rozszerzenia. Luka dotyczy wielu wersji Tomcat od 7.0.0 do 11.0.21.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.1) może pozwolić atakującym na obejście mechanizmów autoryzacji, co stwarza ryzyko nieautoryzowanego dostępu do zasobów webowych. Operatorzy infrastruktury korzystającej z podatnych wersji Tomcat powinni traktować tę lukę priorytetowo, aby uniknąć potencjalnych incydentów bezpieczeństwa i utraty danych.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji metod HTTP i ich ograniczeń.

Źródła