CVE-2026-29145
KrytyczneStreszczenie
W Apache Tomcat oraz Apache Tomcat Native występuje podatność, która powoduje, że uwierzytelnianie CLIENT_CERT nie kończy się niepowodzeniem w oczekiwany sposób, gdy opcja soft fail jest wyłączona. Problem ten dotyczy wielu wersji Tomcat oraz Tomcat Native.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp, co może prowadzić do poważnych naruszeń bezpieczeństwa. Niewłaściwe uwierzytelnianie może umożliwić atakującym przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji Tomcat Native 1.3.7 lub 2.0.14 oraz Tomcat 11.0.20, 10.1.53 i 9.0.116, które eliminują tę podatność.
Oryginalny opis (angielski, źródło NVD)
CLIENT_CERT authentication does not fail as expected for some scenarios when soft fail is disabled vulnerability in Apache Tomcat, Apache Tomcat Native. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.18, from 10.1.0-M7 through 10.1.52, from 9.0.83 through 9.0.115; Apache Tomcat Native: from 1.1.23 through 1.1.34, from 1.2.0 through 1.2.39, from 1.3.0 through 1.3.6, from 2.0.0 through 2.0.13. Users are recommended to upgrade to version Tomcat Native 1.3.7 or 2.0.14 and Tomcat 11.0.20, 10.1.53 and 9.0.116, which fix the issue.

