Krytyczna luka w Apache Tomcat (CVE-2026-53434) dotycząca konfiguracji CRL w konektorze FFM
Krytyczna luka w Apache Tomcat (CVE-2026-53434) wpływa na konfigurację list odwołania certyfikatów. Zalecana szybka aktualizacja do najnowszych wersji.
- CVSS
- 9.1 CRITICAL
- EPSS
- 28.79%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto krytyczną lukę polegającą na braku odpowiedniej reakcji na błąd podczas konfiguracji list odwołania certyfikatów (CRL) w konektorze FFM. Luka dotyczy wersji od 9.0.83 do 9.0.118, 10.1.0-M7 do 10.1.55 oraz 11.0.0-M1 do 11.0.22.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.1) może prowadzić do nieprawidłowego działania mechanizmów bezpieczeństwa w środowiskach wykorzystujących Apache Tomcat, co zwiększa ryzyko ataków związanych z certyfikatami. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, zwłaszcza w systemach obsługujących wrażliwe dane lub krytyczne aplikacje webowe.
Rekomendowane działania administratora
Zaleca się niezwłoczne przeprowadzenie aktualizacji Apache Tomcat do wersji 9.0.119, 10.1.56 lub 11.0.23, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję serwera, monitorować logi pod kątem nieprawidłowości oraz przeprowadzić przegląd konfiguracji certyfikatów i list CRL.