W serwerze Apache Tomcat wykryto krytyczną podatność związaną z nieprawidłową walidacją danych wejściowych (CWE-20). Błąd uzyskał ocenę CVSS 9.8, co wskazuje na możliwość pełnego przejęcia kontroli nad podatnym systemem bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Improper Input Validation vulnerability in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.21, from 10.1.0-M1 through 10.1.54, from 9.0.0.M1 through 9.0.117, from 10.0.0-M1 through 10.0.27. Older, end of support versions may also be affected. Users are recommended to upgrade to version [FIXED_VERSION], which fixes the issue.
Podatność wynika z braku właściwej weryfikacji danych wejściowych dostarczanych przez użytkownika do serwera Apache Tomcat. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez konieczności uwierzytelnienia ani interakcji ze strony użytkownika. Wektor ataku jest sieciowy, a złożoność ataku niska, co czyni podatność wyjątkowo łatwą do wykorzystania.
Udane wykorzystanie podatności może skutkować pełną utratą poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować zawartość serwera lub spowodować jego niedostępność.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (docelowa wersja naprawcza nie została jednoznacznie wskazana w opisie — zaleca się weryfikację listy dyskusyjnej Apache oraz oficjalnych referencji producenta). W międzyczasie warto rozważyć ograniczenie dostępu sieciowego do serwera Tomcat za pomocą firewall.
Apache Tomcat w wersjach: od 11.0.0-M1 do 11.0.21, od 10.1.0-M1 do 10.1.54, od 9.0.0.M1 do 9.0.117, od 10.0.0-M1 do 10.0.27. Starsze, niewspierane wersje mogą być również podatne.
Podatność opublikowana 2026-05-12. W opisie oryginalnym wersja naprawcza oznaczona jako [FIXED_VERSION] — producent nie podał jej wprost w opisie CVE; należy zweryfikować aktualne informacje pod adresem wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Tomcat
APPApache8.5.0 – 8.5.1009.0.0 – 9.0.118 (bez)10.0.0 – 10.0.2710.1.0 – 10.1.55 (bez)11.0.0 – 11.0.22 (bez)
Powiązane podatności
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...
Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....
Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...
Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...