Origine : bjCSIRT
Numéro : 2026/ALERTE/061
APERÇU :
Une vulnérabilité affectant Apache Tomcat permettrait à un acteur malveillant distant de contourner le mécanisme de chiffrement des communications d’un cluster pour provoquer une exécution de code arbitraire sur les systèmes affectés.
DESCRIPTION
Apache Tomcat est un conteneur web et un serveur d’applications pour les environnements Java.
Cette solution est affectée par une vulnérabilité libellée CVE-2026-34486 résultant d’une régression lors de la correction d’une faille antérieure, permettant le contournement du mécanisme de protection fourni par le composant EncryptInterceptor. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés via une attaque par désérialisation.
Elle est classée élevée avec un score de sévérité de 7.5 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Contournement des mécanismes de chiffrement des communications du cluster ;
- Atteinte à la confidentialité, à l’intégrité et à la disponibilité des données.
SYSTEMES AFFECTÉS
- Toutes les versions 9.0.x antérieures à la version 9.0.116 d’Apache Tomcat ;
- Toutes les versions 10.1.x antérieures à la version 10.1.53 d’Apache Tomcat ;
- Toutes les versions 11.0.x antérieures à la version 11.0.20 d’Apache Tomcat ;
MESURES À PRENDRE :
- Mettre à jour Apache Tomcat vers sa dernière version stable en fonction de la branche utilisée ;
- Restreindre l’accès réseau au port de communication du cluster (généralement TCP/4000) aux seules adresses IP de confiance, conformément aux bonnes pratiques de sécurité préconisée par l’éditeur.
RÉFÉRENCES :