CVE-2026-55957
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W Apache Tomcat wykryto brak krytycznego kroku uwierzytelniania w JNDIRealm podczas korzystania z GSSAPI. Atakujący może uwierzytelnić się bez podania poprawnego hasła.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do aplikacji korzystających z uwierzytelniania JNDIRealm z GSSAPI, co może prowadzić do naruszenia poufności i integralności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Apache Tomcat do wersji 11.0.5, 10.1.37 lub 9.0.101, które usuwają tę podatność.
Oryginalny opis (angielski, źródło NVD)
Missing Critical Step in Authentication vulnerability in Apache Tomcat when the JNDIRealm was configured to authenticate binds using GSSAPI allowed attackers to authenticate without provided the correct password. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.4, from 10.1.0-M1 through 10.1.36, from 9.0.0.M1 through 9.0.100, from 8.5.0 through 8.5.100, from 7.0.0 through 7.0.109. Users are recommended to upgrade to version 11.0.5, 10.1.37 or 9.0.101, which fixes the issue.

