Katalog CVE

CVE-2026-29145

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Apache Tomcat oraz Apache Tomcat Native występuje podatność, która powoduje, że uwierzytelnianie CLIENT_CERT nie kończy się niepowodzeniem w oczekiwany sposób, gdy opcja soft fail jest wyłączona. Problem ten dotyczy wielu wersji Tomcat oraz Tomcat Native.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp, co może prowadzić do poważnych naruszeń bezpieczeństwa. Niewłaściwe uwierzytelnianie może umożliwić atakującym przejęcie kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji Tomcat Native 1.3.7 lub 2.0.14 oraz Tomcat 11.0.20, 10.1.53 i 9.0.116, które eliminują tę podatność.

Oryginalny opis (angielski, źródło NVD)

CLIENT_CERT authentication does not fail as expected for some scenarios when soft fail is disabled vulnerability in Apache Tomcat, Apache Tomcat Native. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.18, from 10.1.0-M7 through 10.1.52, from 9.0.83 through 9.0.115; Apache Tomcat Native: from 1.1.23 through 1.1.34, from 1.2.0 through 1.2.39, from 1.3.0 through 1.3.6, from 2.0.0 through 2.0.13. Users are recommended to upgrade to version Tomcat Native 1.3.7 or 2.0.14 and Tomcat 11.0.20, 10.1.53 and 9.0.116, which fix the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS