Katalog CVE

CVE-2026-53404

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 33 — wyżej niż 33% wszystkich znanych CVE

Streszczenie

W Apache Tomcat w mechanizmie rewrite valve wykryto podatność polegającą na nieprawidłowej implementacji przepływu sterowania. Powoduje ona, że gdy pierwszy warunek w łańcuchu OR jest spełniony, pomijane są kolejne warunki niebędące częścią OR.

Ocena ryzyka

Podatność może prowadzić do nieoczekiwanego zachowania reguł przepisywania adresów URL, co może umożliwić atakującemu ominięcie zabezpieczeń lub uzyskanie dostępu do nieautoryzowanych zasobów.

Rekomendacja

Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które zawierają poprawkę.

Oryginalny opis (angielski, źródło NVD)

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat's rewrite valve meant that if the first condition in an OR chain matched, subsequent non-OR conditions were skipped. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.22, from 10.1.0-M1 through 10.1.55, from 9.0.0.M1 through 9.0.118, from 8.5.0 through 8.5.100. Other versions that have reached end of support may also be affected. Users are recommended to upgrade to version 11.0.23, 10.1.56 or 9.0.119, which fix the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS