CRITICAL🇬🇧 English

CVE-2026-43512

Pominięcie uwierzytelnienia w Apache Tomcat — digest authentication

CVSS 9.8pub. 2026-05-12upd. 2026-05-15

Podatność w mechanizmie uwierzytelnienia digest w Apache Tomcat umożliwia atakującemu ominięcie procesu uwierzytelnienia bez posiadania jakichkolwiek uprawnień. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla systemów wystawionych na dostęp sieciowy.

Pokaż oryginał (EN)

DEPRECATED: Authentication Bypass Issues vulnerability in digest authentication in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.21, from 10.1.0-M1 through 10.1.54, from 9.0.0.M1 through 9.0.117, from 8.5.0 through 8.5.100, from before 7.0.0. Older unsupported versions any also be affect Users are recommended to upgrade to version 11.0.22, 10.1.55 or 9.0.118 which fix the issue.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-592 (Authentication Bypass Issues) dotyczy implementacji uwierzytelnienia digest w Apache Tomcat. Atakujący zdalny, nieuwierzytelniony może wykorzystać podatność przez sieć bez interakcji użytkownika i bez spełnienia jakichkolwiek dodatkowych warunków (wektor AV:N/AC:L/PR:N/UI:N). Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie — dotyczy jednak nieprawidłowości w obsłudze procesu uwierzytelnienia digest.

Skutki

Atakujący może uzyskać nieuprawniony dostęp do zasobów chronionych mechanizmem digest authentication, co skutkuje naruszeniem poufności, integralności i dostępności danych (ocena C:H/I:H/A:H w CVSS).

Mitygacja

Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.22, 10.1.55 lub 9.0.118, które zawierają poprawkę. Dla gałęzi 8.5.x i 7.x producent nie wskazał wersji naprawczych — zalecana migracja do wspieranej gałęzi. Jako tymczasowe obejście należy rozważyć wyłączenie mechanizmu digest authentication lub zastąpienie go inną metodą uwierzytelnienia.

Kogo dotyczy

Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.21, 10.1.0-M1 do 10.1.54, 9.0.0.M1 do 9.0.117, 8.5.0 do 8.5.100 oraz wersje starsze niż 7.0.0 (w tym starsze, niewspierane wersje gałęzi 7.x i wcześniejszych)

Uwagi

CVE oznaczone jako DEPRECATED w oryginalnym opisie producenta — należy weryfikować w referencjach Apache, czy podatność nie została wycofana lub zastąpiona innym identyfikatorem CVE. Publikacja datowana na 2026-05-12.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    7.0.0 – 7.0.1098.5.0 – 8.5.1009.0.0 – 9.0.118 (bez)10.1.0 – 10.1.55 (bez)11.0.0 – 11.0.22 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2020-1938CRITICAL9.8⚠ KEVten sam produkt

When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...

CVE-2016-8735CRITICAL9.8⚠ KEVten sam produkt

Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....

CVE-2026-53434CRITICAL9.1ten sam produkt

Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...

CVE-2026-55276CRITICAL9.1ten sam produkt

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...