Вразливість Padding Oracle в Apache Tomcat (CVE-2026-29146)

Вразливість Padding Oracle у Apache Tomcat (CVE-2026-29146) з високим рівнем ризику. Рекомендується оновлення до версій 11.0.19, 10.1.53 або 9.0.116.
CVE-2026-29146CVSS 7.5Web

Вразливість Padding Oracle в Apache Tomcat (CVE-2026-29146)

Вразливість Padding Oracle у Apache Tomcat (CVE-2026-29146) з високим рівнем ризику. Рекомендується оновлення до версій 11.0.19, 10.1.53 або 9.0.116.

CVSS
7.5 HIGH
EPSS
87.72%
Активно використовується
немає в KEV
Продукт
tomcat

Що відомо

Виявлено вразливість типу Padding Oracle в компоненті EncryptInterceptor Apache Tomcat при стандартних налаштуваннях. Уразливість присутня у версіях Tomcat від 7.0.100 до 11.0.18, що може дозволити зловмисникам розкривати зашифровані дані.

Бізнес-вплив

Ця вразливість може призвести до компрометації конфіденційної інформації, що обробляється Tomcat, особливо у веб-додатках, які використовують EncryptInterceptor. Для операторів ІТ та власників інфраструктури це означає підвищений ризик витоку даних та потенційні порушення безпеки сервісів.

Рекомендовані дії адміністратора

Рекомендується якнайшвидше оновити Apache Tomcat до версій 11.0.19, 10.1.53 або 9.0.116, де ця проблема виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до сервера, переглянути журнали на предмет підозрілої активності та пріоритезувати патчі для критичних систем.

Джерела