Вразливість у Apache Tomcat: відсутність шифрування конфіденційних даних

Вразливість у Apache Tomcat дозволяє обходити шифрування даних. Оновіть до версій 11.0.21, 10.1.54 або 9.0.117 для захисту.
CVE-2026-34486CVSS 7.5Web

Вразливість у Apache Tomcat: відсутність шифрування конфіденційних даних

Вразливість у Apache Tomcat дозволяє обходити шифрування даних. Оновіть до версій 11.0.21, 10.1.54 або 9.0.117 для захисту.

CVSS
7.5 HIGH
EPSS
96.48%
Активно використовується
немає в KEV
Продукт
tomcat

Що відомо

У Apache Tomcat виявлено вразливість, що дозволяє обходити механізм EncryptInterceptor, через що конфіденційні дані можуть залишатися незашифрованими. Проблема виникла після виправлення для CVE-2026-29146 і зачіпає версії 11.0.20, 10.1.53 та 9.0.116.

Бізнес-вплив

Ця вразливість може призвести до витоку чутливої інформації, що негативно впливає на безпеку веб-додатків і довіру користувачів. Для ІТ-операторів і власників інфраструктури це означає підвищений ризик компрометації даних і можливі репутаційні втрати.

Рекомендовані дії адміністратора

Рекомендується якнайшвидше оновити Apache Tomcat до версій 11.0.21, 10.1.54 або 9.0.117, які містять виправлення цієї проблеми. Також слід переглянути журнали безпеки на предмет підозрілої активності та обмежити доступ до сервісів, поки оновлення не буде застосоване.

Джерела