Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłowe logowanie uprawnień (CVE-2026-55276)
Krytyczna luka w Apache Tomcat (CVE-2026-55276) wpływa na logowanie uprawnień. Zalecana aktualizacja do wersji 11.0.23, 10.1.56 lub 9.0.119.
- CVSS
- 9.1 CRITICAL
- EPSS
- 28.79%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- tomcat
Co wiadomo
W Apache Tomcat wykryto poważną lukę Always-Incorrect Control Flow Implementation, która powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Luka dotyczy wielu wersji Tomcat od 8.5.0 do 11.0.22.
Wpływ biznesowy
Luka ta może prowadzić do niepełnego rejestrowania informacji o uprawnieniach, co utrudnia audyt i wykrywanie nieautoryzowanych działań w środowisku webowym. Dla operatorów IT i właścicieli infrastruktury oznacza to zwiększone ryzyko niewykrycia prób naruszenia bezpieczeństwa oraz potencjalne problemy z zgodnością audytową.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem nieprawidłowości oraz przeprowadzić przegląd polityk autoryzacji.