Katalog CVE

CVE-2026-55276

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

Podatność w Apache Tomcat powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M1 do 10.1.55, od 9.0.0.M1 do 9.0.118 oraz od 8.5.0 do 8.5.100.

Ocena ryzyka

Organizacja może nie mieć pełnego wglądu w rzeczywistą konfigurację zabezpieczeń, co utrudnia audyt i może prowadzić do błędnej oceny ryzyka związanego z kontrolą dostępu.

Rekomendacja

Zaleca się natychmiastową aktualizację Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które usuwają tę podatność.

Oryginalny opis (angielski, źródło NVD)

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty authorisation constraints were not included when the effective web.xml was logged. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.22, from 10.1.0-M1 through 10.1.55, from 9.0.0.M1 through 9.0.118, from 8.5.0 through 8.5.100. Other versions that have reached end of support may also be affected. Users are recommended to upgrade to version 11.0.23, 10.1.56 or 9.0.119 which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS