Krytyczna luka w Apache Tomcat (CVE-2026-53434) dotycząca konfiguracji CRL w konektorze FFM

Krytyczna luka w Apache Tomcat (CVE-2026-53434) wpływa na konfigurację list odwołania certyfikatów. Zalecana szybka aktualizacja do najnowszych wersji.
CVE-2026-53434CVSS 9.1Web

Krytyczna luka w Apache Tomcat (CVE-2026-53434) dotycząca konfiguracji CRL w konektorze FFM

Krytyczna luka w Apache Tomcat (CVE-2026-53434) wpływa na konfigurację list odwołania certyfikatów. Zalecana szybka aktualizacja do najnowszych wersji.

CVSS
9.1 CRITICAL
EPSS
28.79%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto krytyczną lukę polegającą na braku odpowiedniej reakcji na błąd podczas konfiguracji list odwołania certyfikatów (CRL) w konektorze FFM. Luka dotyczy wersji od 9.0.83 do 9.0.118, 10.1.0-M7 do 10.1.55 oraz 11.0.0-M1 do 11.0.22.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.1) może prowadzić do nieprawidłowego działania mechanizmów bezpieczeństwa w środowiskach wykorzystujących Apache Tomcat, co zwiększa ryzyko ataków związanych z certyfikatami. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, zwłaszcza w systemach obsługujących wrażliwe dane lub krytyczne aplikacje webowe.

Rekomendowane działania administratora

Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 9.0.119, 10.1.56 lub 11.0.23, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję serwera, monitorować logi pod kątem nieprawidłowości oraz przeprowadzić przegląd konfiguracji certyfikatów i list CRL.

Źródła