CVE-2026-53404
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
W Apache Tomcat w mechanizmie rewrite valve wykryto podatność polegającą na nieprawidłowej implementacji przepływu sterowania. Powoduje ona, że gdy pierwszy warunek w łańcuchu OR jest spełniony, pomijane są kolejne warunki niebędące częścią OR.
Ocena ryzyka
Podatność może prowadzić do nieoczekiwanego zachowania reguł przepisywania adresów URL, co może umożliwić atakującemu ominięcie zabezpieczeń lub uzyskanie dostępu do nieautoryzowanych zasobów.
Rekomendacja
Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.23, 10.1.56 lub 9.0.119, które zawierają poprawkę.
Oryginalny opis (angielski, źródło NVD)
Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat's rewrite valve meant that if the first condition in an OR chain matched, subsequent non-OR conditions were skipped. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.22, from 10.1.0-M1 through 10.1.55, from 9.0.0.M1 through 9.0.118, from 8.5.0 through 8.5.100. Other versions that have reached end of support may also be affected. Users are recommended to upgrade to version 11.0.23, 10.1.56 or 9.0.119, which fix the issue.

