CRITICAL🇬🇧 English

CVE-2026-41293

Nieprawidłowa walidacja danych wejściowych w Apache Tomcat (RCE/Critical)

CVSS 9.8pub. 2026-05-12upd. 2026-05-15

W serwerze Apache Tomcat wykryto krytyczną podatność związaną z nieprawidłową walidacją danych wejściowych (CWE-20). Błąd uzyskał ocenę CVSS 9.8, co wskazuje na możliwość pełnego przejęcia kontroli nad podatnym systemem bez uwierzytelnienia.

Pokaż oryginał (EN)

Improper Input Validation vulnerability in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.21, from 10.1.0-M1 through 10.1.54, from 9.0.0.M1 through 9.0.117, from 10.0.0-M1 through 10.0.27. Older, end of support versions may also be affected. Users are recommended to upgrade to version [FIXED_VERSION], which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z braku właściwej weryfikacji danych wejściowych dostarczanych przez użytkownika do serwera Apache Tomcat. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez konieczności uwierzytelnienia ani interakcji ze strony użytkownika. Wektor ataku jest sieciowy, a złożoność ataku niska, co czyni podatność wyjątkowo łatwą do wykorzystania.

Skutki

Udane wykorzystanie podatności może skutkować pełną utratą poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować zawartość serwera lub spowodować jego niedostępność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (docelowa wersja naprawcza nie została jednoznacznie wskazana w opisie — zaleca się weryfikację listy dyskusyjnej Apache oraz oficjalnych referencji producenta). W międzyczasie warto rozważyć ograniczenie dostępu sieciowego do serwera Tomcat za pomocą firewall.

Kogo dotyczy

Apache Tomcat w wersjach: od 11.0.0-M1 do 11.0.21, od 10.1.0-M1 do 10.1.54, od 9.0.0.M1 do 9.0.117, od 10.0.0-M1 do 10.0.27. Starsze, niewspierane wersje mogą być również podatne.

Uwagi

Podatność opublikowana 2026-05-12. W opisie oryginalnym wersja naprawcza oznaczona jako [FIXED_VERSION] — producent nie podał jej wprost w opisie CVE; należy zweryfikować aktualne informacje pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    8.5.0 – 8.5.1009.0.0 – 9.0.118 (bez)10.0.0 – 10.0.2710.1.0 – 10.1.55 (bez)11.0.0 – 11.0.22 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2020-1938CRITICAL9.8⚠ KEVten sam produkt

When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...

CVE-2016-8735CRITICAL9.8⚠ KEVten sam produkt

Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....

CVE-2026-53434CRITICAL9.1ten sam produkt

Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...

CVE-2026-55276CRITICAL9.1ten sam produkt

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...