CVE-2026-55276: Вразливість у Apache Tomcat, пов’язана з некоректним логуванням
Вразливість CVE-2026-55276 у Apache Tomcat призводить до некоректного логування безпекових налаштувань. Рекомендується оновлення до виправлених версій.
- CVSS
- 9.1 CRITICAL
- EPSS
- 28.79%
- Активно використовується
- немає в KEV
- Продукт
- tomcat
Що відомо
В Apache Tomcat виявлено критичну вразливість Always-Incorrect Control Flow Implementation, через яку спеціальні ролі та порожні обмеження авторизації не включалися до логів effective web.xml. Проблема зачіпає версії від 8.5.0 до 11.0.22 та інші, що вже не підтримуються.
Бізнес-вплив
Ця вразливість може призвести до неповного або некоректного аудиту налаштувань безпеки, що ускладнює виявлення потенційних загроз та інцидентів. Для ІТ-операторів і власників інфраструктури це означає підвищений ризик пропуску критичних подій безпеки, що може вплинути на загальний рівень захисту веб-додатків.
Рекомендовані дії адміністратора
Рекомендується якнайшвидше оновити Apache Tomcat до версій 11.0.23, 10.1.56 або 9.0.119, які містять виправлення цієї вразливості. Якщо оновлення наразі неможливе, слід обмежити доступ до логів, переглянути налаштування безпеки, посилити моніторинг та аналіз журналів, а також планувати пріоритетне впровадження патчів.