Apache Tomcat закрыл шесть уязвимостей, включая обход политик безопасности и межсайтовый скриптинг

Apache Software Foundation выпустила обновлённые версии сервера приложений Tomcat - 9.0.119, 10.1.56 и 11.0.23. В них исправлены шесть уязвимостей, одна из которых отнесена к умеренному уровню опасности, остальные - к низкому. Среди рисков - обход политик безопасности, межсайтовый скриптинг (XSS) и атаки повторного воспроизведения.

Детали уязвимостей

Наиболее серьёзная проблема получила идентификатор CVE-2026-55956. Она затрагивает механизм настройки ограничений безопасности для сервлета по умолчанию. Если администратор указывал для него какие-либо методы HTTP или исключения методов, эти ограничения игнорировались. В результате злоумышленник мог получить доступ к ресурсам, которые должны были быть защищены. Уязвимость присутствует во всех трёх основных ветках Tomcat - 9.0.x до 9.0.118, 10.1.x до 10.1.55 и 11.0.x до 11.0.22.

Остальные пять уязвимостей классифицированы как низкие. Первая из них, CVE-2026-50229, - это межсайтовый скриптинг в демонстрационном приложении "угадай число". Из-за использования подстановочного отображения свойств некоторые внутренние данные оказались доступны клиентам. Это позволяет внедрить вредоносный код в страницу, отображаемую в браузере пользователя.

Вторая уязвимость, CVE-2026-55955, связана с компонентом EncryptInterceptor. Вопреки документации, он не защищал передаваемые данные от атак повторного воспроизведения (replay attack). При такой атаке перехваченный ранее legitimate-запрос может быть отправлен снова, что потенциально приведёт к нежелательным действиям на сервере.

Третья проблема, CVE-2026-55276, касается неполного логирования при генерации эффективного файла web.xml. Из-за ошибок логики в журнал не попадали ни специальные роли, ни пустые ограничения авторизации. Это могло затруднить аудит безопасности: администратор не видел реальную конфигурацию доступа.

Четвёртая уязвимость, CVE-2026-53434, затрагивает FFM-коннектор (коннектор, использующий Foreign Function & Memory API для работы с нативным кодом). Если он был настроен с недействительными списками отзыва сертификатов (CRL), эти списки просто игнорировались. В результате могли быть приняты сертификаты, которые уже отозваны.

Пятая уязвимость, CVE-2026-53404, обнаружена в компоненте RewriteValve. При обработке цепочек условий с логическим "ИЛИ" после совпадения первого условия все последующие, не являющиеся частью "ИЛИ", пропускались. Это приводило к тому, что правило перезаписи URL срабатывало некорректно, потенциально открывая доступ к ресурсам, которые должны были быть исключены.

Все уязвимости были обнаружены внутренними исследователями Apache Tomcat или сообщены внешними специалистами в мае-июне 2026 года. Команда безопасности проекта оперативно подготовила исправления, которые вошли в выпуски версий 9.0.119, 10.1.56 и 11.0.23. Подробности опубликованы в официальных бюллетенях безопасности Apache от 22-23 июня.

Apache Tomcat остаётся одним из самых распространённых серверов приложений для Java, используемым как в небольших проектах, так и в крупных корпоративных средах. Даже уязвимости низкого уровня опасности в таком компоненте заслуживают внимания, поскольку в определённых сценариях могут стать частью цепочки атак. Особенно важно оперативно применить патч для CVE-2026-55956, так как она напрямую обходит заданные администратором ограничения.

Администраторам рекомендуется обновить используемые установки Tomcat до указанных версий. Если демонстрационные примеры не нужны в рабочей среде, их следует отключить - это снизит риск эксплуатации XSS-уязвимости. Временных мер для остальных проблем производитель не предлагает, полагаясь на установку исправлений.

Ситуация подтверждает тенденцию: разработчики популярного инфраструктурного программного обеспечения всё чаще выявляют ошибки в механизмах безопасности и публикуют корректирующие релизы. Регулярное обновление серверов приложений остаётся необходимой практикой для поддержания защищённости информационных систем.

Детали уязвимостей

Ссылки