CVE-2026-50229
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
W przykładowej aplikacji do zgadywania liczb w Apache Tomcat wykryto podatność na podstawowy atak XSS (Cross-Site Scripting). Brak odpowiedniej neutralizacji znaczników HTML związanych ze skryptami umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania skryptów w przeglądarce ofiary, co może prowadzić do kradzieży sesji, przekierowań na złośliwe strony lub kradzieży danych uwierzytelniających.
Rekomendacja
Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability in the number guess example for Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.22, from 10.1.0-M1 through 10.1.55, from 9.0.0.M1 through 9.0.118, from 8.5.0 through 8.5.100, from 7.0.0 through 7.0.109. Other versions that have reached end of support may also be affected. Users are recommended to upgrade to version 11.0.23, 10.1.56 or 9.0.119, which fix the issue.

