Вразливість Padding Oracle в Apache Tomcat (CVE-2026-29146)
Вразливість Padding Oracle у Apache Tomcat (CVE-2026-29146) з високим рівнем ризику. Рекомендується оновлення до версій 11.0.19, 10.1.53 або 9.0.116.
- CVSS
- 7.5 HIGH
- EPSS
- 87.72%
- Активно використовується
- немає в KEV
- Продукт
- tomcat
Що відомо
Виявлено вразливість типу Padding Oracle в компоненті EncryptInterceptor Apache Tomcat при стандартних налаштуваннях. Уразливість присутня у версіях Tomcat від 7.0.100 до 11.0.18, що може дозволити зловмисникам розкривати зашифровані дані.
Бізнес-вплив
Ця вразливість може призвести до компрометації конфіденційної інформації, що обробляється Tomcat, особливо у веб-додатках, які використовують EncryptInterceptor. Для операторів ІТ та власників інфраструктури це означає підвищений ризик витоку даних та потенційні порушення безпеки сервісів.
Рекомендовані дії адміністратора
Рекомендується якнайшвидше оновити Apache Tomcat до версій 11.0.19, 10.1.53 або 9.0.116, де ця проблема виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до сервера, переглянути журнали на предмет підозрілої активності та пріоритезувати патчі для критичних систем.