CVE-2026-55955
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Apache Tomcat umożliwia atak typu replay na komponent EncryptionInterceptor w klastrze. Luka wynika z nieprawidłowego uwierzytelniania, co pozwala atakującemu na ponowne wykorzystanie przechwyconych danych.
Ocena ryzyka
Atakujący może przeprowadzić atak typu replay, co może prowadzić do nieautoryzowanego dostępu do danych lub naruszenia integralności komunikacji w klastrze. Może to skutkować wyciekiem wrażliwych informacji lub zakłóceniem działania aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, w zależności od używanej linii wydawniczej. Aktualizacja eliminuje podatność poprzez poprawę mechanizmu uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
Improper Authentication vulnerability in Apache Tomcat allowed a replay attack against the EncryptionInterceptor in the cluster component. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.22, from 10.1.0-M1 through 10.1.55, from 9.0.13 through 9.0.18, from 8.5.38 through 8.5.100, from 7.0.100 through 7.0.109. Users are recommended to upgrade to version 11.0.23, 10.1.56, 9.0.119, which fixes the issue.

