Фонд Apache Software Foundation 29 июня 2026 года опубликовал предупреждение о критической уязвимости CVE-2026-55957 в сервере приложений Tomcat. Проблема уровня Important позволяет злоумышленнику обойти аутентификацию в системах, использующих JNDIRealm совместно с GSSAPI‑аутентификацией. Атака может привести к несанкционированному доступу к защищённым ресурсам без предъявления учётных данных.
Уязвимость CVE-2026-55957
Уязвимость затрагивает все поддерживаемые ветки Tomcat: версии 11.0.0-M1 - 11.0.4, 10.1.0-M1 - 10.1.36 и 9.0.0‑M1 - 9.0.100. Также под ударом могут быть более старые, уже не поддерживаемые сборки, что увеличивает риски для устаревших корпоративных инсталляций. Патчи уже выпущены: пользователям необходимо обновиться до Tomcat 11.0.5, 10.1.37 или 9.0.101 и выше.
Причина уязвимости - некорректная обработка ограничений безопасности (security constraints) для сервлета по умолчанию. В случае, если для дефолтного сервлета заданы правила доступа, любые указанные в ограничении HTTP‑методы или исключения методов игнорируются при проверке. Другими словами, сервер не применяет настройки, которые должны блокировать или разрешать определённые запросы.
Когда JNDIRealm настроен на централизованную аутентификацию через LDAP или аналогичные каталоги, а связка с GSSAPI включена, атакующий может отправить запрос с произвольным HTTP‑методом, который не был явно проверен. Из-за игнорирования ограничений сервер пропускает такой запрос, не требуя корректных учётных данных. В результате потенциальный злоумышленник получает доступ к приложениям, которые должны быть защищены аутентификацией.
Уязвимость выявил исследователь безопасности Илан Тойтер (Ilan Toyter). Он сообщил о ней в Apache Software Foundation, после чего разработчики подготовили исправления. Выпуск патчей совпал с публикацией официального бюллетеня.
Эксплуатация CVE-2026-55957 особенно опасна в крупных корпоративных средах, где Tomcat используется как Java‑сервлетный контейнер для критичных бизнес‑приложений. Если для разграничения доступа применяются правила на основе HTTP‑методов (GET, POST, PUT, DELETE и других), а аутентификация завязана на LDAP‑каталог, злоумышленник может получить полный контроль над незащищённым эндпоинтом, минуя проверку пароля. Это может привести к утечке данных, изменению конфигурации или выполнению несанкционированных операций.
Разработчики рекомендуют администраторам немедленно обновить Tomcat до указанных версий. Временных обходных мер, кроме миграции на исправленную сборку, не предусмотрено. После установки патча необходимо перепроверить корректность работы ограничений безопасности: например, выполнить тестовые запросы с разными HTTP‑методами к защищённым маршрутам и убедиться, что правила применяются.
Стоит отметить, что проблема возникла из-за логической ошибки в механизме сопоставления правил для сервлета по умолчанию при использовании JNDIRealm. Хотя GSSAPI часто применяется в инфраструктурах с Kerberos, сама уязвимость не требует сложных предварительных условий - достаточно, чтобы у сервера была активирована соответствующая конфигурация Realm.
Событие подчёркивает важность своевременного обновления критических компонентов инфраструктуры. Уязвимости в Tomcase, который является одним из самых распространённых Java‑контейнеров, стабильно фиксируются несколько раз в год. Apache Software Foundation сохраняет практику регулярных выпусков исправлений и публикации детальных бюллетеней.
Организациям, использующим Tomcat в связке с LDAP‑каталогами для аутентификации, следует провести аудит журналов на предмет подозрительных HTTP‑запросов с нестандартными методами. Особое внимание - запросам, которые не ожидались на защищённых ресурсах. После установки патча необходимо также проверить, что все ограничения безопасности, заданные в web.xml или через аннотации, работают корректно.
Выпуск исправлений для CVE-2026-55957 является приоритетным из-за высокой степени опасности. Закрытие уязвимости не требует сложных действий - достаточно стандартного процесса обновления. Однако важно сделать это до того, как публичные эксплойты начнут циркулировать в открытых источниках, что увеличит количество атак на непропатченные системы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-55957
- https://lists.apache.org/thread/7fk339o5jvd4mcgsf0chbrn4o525ccjh