Apache Software Foundation выпустила корректирующие релизы для популярного серверного контейнера Apache Tomcat - версии 9.0.120, 10.1.57 и 11.0.24. В них устранены две уязвимости, одна из которых потенциально позволяла обойти механизмы контроля доступа при определённых настройках. Проблемы были выявлены как внутренней командой безопасности проекта, так и внешними исследователями.
Детали уязвимостей
Первая уязвимость, зарегистрированная под идентификатором CVE-2026-59083 и классифицированная как проблема с низким уровнем опасности, затрагивает компонент RewriteValve - модуль, отвечающий за перезапись URL-адресов. Исследователи обнаружили, что в некоторых конфигурациях некорректно обрабатывается символ "+" в переписанных URI: он преобразуется в пробел, что может приводить к неверной интерпретации пути. В результате в ряде сценариев злоумышленник мог бы обойти ограничения политики безопасности, заложенные в приложении. Атака требовала определённых условий, включая использование RewriteValve в специфических настройках, и не затрагивала все инсталляции Tomcat. Уязвимость была обнаружена командой безопасности Tomcat 26 июня 2026 года, а публичное раскрытие состоялось 14 июля.
Вторая уязвимость - CVE-2026-59084 - связана не с ошибкой в коде, а с недостаточной технической документацией. В описании говорится, что требования для безопасной настройки компонента EncryptInterceptor (перехватчика шифрования) не были чётко задокументированы. Это создавало риск, что администраторы при конфигурировании могли неверно интерпретировать инструкции и оставить канал передачи данных незащищённым. Проблема была сообщена команде безопасности Tomcat 29 июня, а исправление - выпуск уточнённых документов и, при необходимости, корректировка кода - включено в те же версии. Несмотря на внешнюю схожесть с техническим недочётом, данная уязвимость также отнесена к категории с низким уровнем опасности, поскольку эксплуатация требовала как минимум отсутствия у администратора осведомлённости о правильной настройке.
Обе проблемы затрагивают широкий спектр версий. CVE-2026-59083 присутствует в Apache Tomcat начиная с 9.0.0-M1 по 9.0.119, с 10.1.0-M1 по 10.1.56, с 11.0.0-M1 по 11.0.23, а также в версиях 8.5.x (с 8.5.0 по 8.5.100). Для CVE-2026-59084 список несколько уже: версии 7.0.100-7.0.109, 8.5.38-8.5.100, 9.0.13-9.0.119, 10.1.0-M1-10.1.56, 11.0.0-M1-11.0.23. Разработчики подчёркивают, что поддержка старых веток (7.0.x и 8.5.x) уже завершена, поэтому пользователям этих линеек настоятельно рекомендуется переходить на актуальные выпуски.
Официальные бюллетени безопасности были опубликованы 7-8 июля, а сами обновления стали доступны для скачивания вскоре после раскрытия информации. Для ветки 9.0.x исправления вышли в версии 9.0.120, для 10.1.x - в 10.1.57, для 11.0.x - в 11.0.24. В патчи включены коммиты, адресующие каждую из проблем: для CVE-2026-59083 это исправление декодирования символа "+" в RewriteValve, для CVE-2026-59084 - уточнение документации по EncryptInterceptor.
Администраторам серверов, использующих Apache Tomcat, рекомендуется как можно скорее провести обновление до указанных версий. Хотя обе уязвимости имеют низкий уровень опасности, их сочетание с другими факторами - например, специфической конфигурацией приложения или недостаточными знаниями администратора - может открыть вектор для атаки. Установка патчей остаётся наиболее надёжной мерой защиты.
Ситуация вновь напоминает, что даже незначительные на первый взгляд ошибки документации или обработки URL-адресов могут приводить к реальным уязвимостям. В современных условиях, когда серверы приложений работают в сложных инфраструктурах, своевременное управление исправлениями критически важно для поддержания безопасности.
Ссылки
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.24
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.120
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.57
- https://www.cve.org/CVERecord?id=CVE-2026-59084
- https://www.cve.org/CVERecord?id=CVE-2026-59083