Katalog CVE

CVE-2026-55957

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 35 — wyżej niż 35% wszystkich znanych CVE

Streszczenie

W Apache Tomcat wykryto brak krytycznego kroku uwierzytelniania w JNDIRealm podczas korzystania z GSSAPI. Atakujący może uwierzytelnić się bez podania poprawnego hasła.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do aplikacji korzystających z uwierzytelniania JNDIRealm z GSSAPI, co może prowadzić do naruszenia poufności i integralności danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Apache Tomcat do wersji 11.0.5, 10.1.37 lub 9.0.101, które usuwają tę podatność.

Oryginalny opis (angielski, źródło NVD)

Missing Critical Step in Authentication vulnerability in Apache Tomcat when the JNDIRealm was configured to authenticate binds using GSSAPI allowed attackers to authenticate without provided the correct password. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.4, from 10.1.0-M1 through 10.1.36, from 9.0.0.M1 through 9.0.100, from 8.5.0 through 8.5.100, from 7.0.0 through 7.0.109. Users are recommended to upgrade to version 11.0.5, 10.1.37 or 9.0.101, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS