Se han descubierto vulnerabilidades de severidad alta en productos Apache Tomcat. Un actor malicioso podría acceder a información confidencial en los sistemas afectados.
Productos afectados
- Versiones 11.0.x anteriores a la 11.0.21.
- Versiones 10.1.x anteriores a la 10.1.54.
- Versiones 9.0.x desde la 9.0.13 hasta la 9.0.116.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-29146: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de oráculo de relleno en el componente EncryptInterceptor cuando se utiliza la configuración predeterminada. Un actor malicioso remoto comprometer la confidencialidad de los datos cifrados.
CVE-2026-34486: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de ausencia de cifrado de datos sensibles. Debido a una corrección incompleta de vulnerabilidades previas, un actor malicioso remoto podría eludir el componente EncryptInterceptor, permitiendo el acceso a información que debería estar protegida mediante cifrado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias