Podatność w mechanizmie uwierzytelnienia digest w Apache Tomcat umożliwia atakującemu ominięcie procesu uwierzytelnienia bez posiadania jakichkolwiek uprawnień. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla systemów wystawionych na dostęp sieciowy.
▸ Pokaż oryginał (EN)
DEPRECATED: Authentication Bypass Issues vulnerability in digest authentication in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.21, from 10.1.0-M1 through 10.1.54, from 9.0.0.M1 through 9.0.117, from 8.5.0 through 8.5.100, from before 7.0.0. Older unsupported versions any also be affect Users are recommended to upgrade to version 11.0.22, 10.1.55 or 9.0.118 which fix the issue.
Błąd sklasyfikowany jako CWE-592 (Authentication Bypass Issues) dotyczy implementacji uwierzytelnienia digest w Apache Tomcat. Atakujący zdalny, nieuwierzytelniony może wykorzystać podatność przez sieć bez interakcji użytkownika i bez spełnienia jakichkolwiek dodatkowych warunków (wektor AV:N/AC:L/PR:N/UI:N). Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie — dotyczy jednak nieprawidłowości w obsłudze procesu uwierzytelnienia digest.
Atakujący może uzyskać nieuprawniony dostęp do zasobów chronionych mechanizmem digest authentication, co skutkuje naruszeniem poufności, integralności i dostępności danych (ocena C:H/I:H/A:H w CVSS).
Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę. Dla gałęzi 8.5.x i 7.x producent nie wskazał wersji naprawczych — zalecana migracja do wspieranej gałęzi. Jako tymczasowe obejście należy rozważyć wyłączenie mechanizmu digest authentication lub zastąpienie go inną metodą uwierzytelnienia.
Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.21, 10.1.0-M1 do 10.1.54, 9.0.0.M1 do 9.0.117, 8.5.0 do 8.5.100 oraz wersje starsze niż 7.0.0 (w tym starsze, niewspierane wersje gałęzi 7.x i wcześniejszych)
CVE oznaczone jako DEPRECATED w oryginalnym opisie producenta — należy weryfikować w referencjach Apache, czy podatność nie została wycofana lub zastąpiona innym identyfikatorem CVE. Publikacja datowana na 2026-05-12.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Tomcat
APPApache7.0.0 – 7.0.1098.5.0 – 8.5.1009.0.0 – 9.0.118 (bez)10.1.0 – 10.1.55 (bez)11.0.0 – 11.0.22 (bez)
Powiązane podatności
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...
Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....
Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...
Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...