Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłową autoryzację
Krytyczna luka w Apache Tomcat (CVE-2026-43515) umożliwia obejście autoryzacji. Zalecana szybka aktualizacja do wersji 11.0.22, 10.1.55 lub 9.0.118.
- CVSS
- 9.1 CRITICAL
- EPSS
- 62.62%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto poważną lukę bezpieczeństwa związaną z nieprawidłową autoryzacją, gdy wiele ograniczeń metod definiuje tę samą metodę HTTP dla jednego rozszerzenia. Luka dotyczy wielu wersji Tomcat od 7.0.0 do 11.0.21.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.1) może pozwolić atakującym na obejście mechanizmów autoryzacji, co stwarza ryzyko nieautoryzowanego dostępu do zasobów webowych. Operatorzy infrastruktury korzystającej z podatnych wersji Tomcat powinni traktować tę lukę priorytetowo, aby uniknąć potencjalnych incydentów bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić przegląd konfiguracji metod HTTP i ich ograniczeń.