CVE-2026-55276: Вразливість у Apache Tomcat, пов’язана з некоректним логуванням

Вразливість CVE-2026-55276 у Apache Tomcat призводить до некоректного логування безпекових налаштувань. Рекомендується оновлення до виправлених версій.
CVE-2026-55276CVSS 9.1Web

CVE-2026-55276: Вразливість у Apache Tomcat, пов’язана з некоректним логуванням

Вразливість CVE-2026-55276 у Apache Tomcat призводить до некоректного логування безпекових налаштувань. Рекомендується оновлення до виправлених версій.

CVSS
9.1 CRITICAL
EPSS
28.79%
Активно використовується
немає в KEV
Продукт
tomcat

Що відомо

В Apache Tomcat виявлено критичну вразливість Always-Incorrect Control Flow Implementation, через яку спеціальні ролі та порожні обмеження авторизації не включалися до логів effective web.xml. Проблема зачіпає версії від 8.5.0 до 11.0.22 та інші, що вже не підтримуються.

Бізнес-вплив

Ця вразливість може призвести до неповного або некоректного аудиту налаштувань безпеки, що ускладнює виявлення потенційних загроз та інцидентів. Для ІТ-операторів і власників інфраструктури це означає підвищений ризик пропуску критичних подій безпеки, що може вплинути на загальний рівень захисту веб-додатків.

Рекомендовані дії адміністратора

Рекомендується якнайшвидше оновити Apache Tomcat до версій 11.0.23, 10.1.56 або 9.0.119, які містять виправлення цієї вразливості. Якщо оновлення наразі неможливе, слід обмежити доступ до логів, переглянути налаштування безпеки, посилити моніторинг та аналіз журналів, а також планувати пріоритетне впровадження патчів.

Джерела