Vulnerabilidad en productos Apache

Se ha descubierto una vulnerabilidad de severidad alta en productos Apache Tomcat. Un actor malicioso podría lograr la omisión de autenticación en los sistemas afectados.

Productos afectados

  • Apache Tomcat versiones 11.0.0-M1 a 11.0.4
  • Apache Tomcat versiones 10.1.0-M1 a 10.1.36
  • Apache Tomcat versiones 9.0.0.M1 a 9.0.100
  • Apache Tomcat versiones 8.5.0 a 8.5.100
  • Apache Tomcat versiones 7.0.0 a 7.0.109

Impacto

La vulnerabilidadse ha identificado como:

CVE-2026-55957: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación en el proceso de verificación en el servidor web Apache Tomcat. Esta se manifiesta exclusivamente cuando el componente JNDIRealm se encuentra configurado para autenticar enlaces utilizando GSSAPI. Debido a una deficiencia en el flujo lógico de validación de identidad entre Tomcat y el servicio de directorio subyacente, un actor malicioso remoto no autenticado podría aprovechar esta debilidad para evadir por completo los controles de seguridad perimetrales e ingresar legítimamente al sistema sin necesidad de proporcionar una contraseña correcta.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-55957
https://lists.apache.org/thread/7fk339o5jvd4mcgsf0chbrn4o525ccjh