Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłowe logowanie uprawnień (CVE-2026-55276)

Krytyczna luka w Apache Tomcat (CVE-2026-55276) wpływa na logowanie uprawnień. Zalecana aktualizacja do wersji 11.0.23, 10.1.56 lub 9.0.119.
CVE-2026-55276CVSS 9.1Web

Krytyczna luka w Apache Tomcat umożliwiająca nieprawidłowe logowanie uprawnień (CVE-2026-55276)

Krytyczna luka w Apache Tomcat (CVE-2026-55276) wpływa na logowanie uprawnień. Zalecana aktualizacja do wersji 11.0.23, 10.1.56 lub 9.0.119.

CVSS
9.1 CRITICAL
EPSS
28.79%
Aktywnie wykorzystywana
brak w KEV
Produkt
tomcat

Co wiadomo

W Apache Tomcat wykryto poważną lukę Always-Incorrect Control Flow Implementation, która powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Luka dotyczy wielu wersji Tomcat od 8.5.0 do 11.0.22.

Wpływ biznesowy

Luka ta może prowadzić do niepełnego rejestrowania informacji o uprawnieniach, co utrudnia audyt i wykrywanie nieautoryzowanych działań w środowisku webowym. Dla operatorów IT i właścicieli infrastruktury oznacza to zwiększone ryzyko niewykrycia prób naruszenia bezpieczeństwa oraz potencjalne problemy z zgodnością audytową.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które zawierają poprawkę usuwającą tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem nieprawidłowości oraz przeprowadzić przegląd polityk autoryzacji.

Źródła