Apache - CVE-2026-29146
Date de publication :
Il s’agit d’une vulnérabilité dans le composant EncryptInterceptor de Apache Tomcat.
Apache Tomcat est un serveur web et un conteneur d’applications Java. Il héberge et exécute des applications web Java et Jakarta EE.
Le mécanisme utilise par défaut le mode de chiffrement CBC pour les échanges du cluster. Ce choix rend le composant vulnérable à une attaque par oracle de padding. Un attaquant capable d’observer et d’interagir avec le trafic chiffré du cluster peut exploiter les différences de traitement liées au padding pour déduire le contenu de messages protégés.
Elle permet une atteinte à la confidentialité des données échangées par le cluster.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
CWE-209 : Generation of Error Message Containing Sensitive Information
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Apache Tomcat versions 11.0.0-M1 jusqu’à 11.0.18,
• Apache Tomcat versions 10.0.0-M1 jusqu’à 10.1.52,
• Apache Tomcat versions 9.0.13 jusqu’à 9.0.115,
• Apache Tomcat versions 8.5.38 jusqu’à 8.5.100. Branche en fin de support,
• Apache Tomcat versions 7.0.100 jusqu’à 7.0.109. Branche en fin de support.
Solutions ou recommandations
• Apache Tomcat versions 10.1.54 et supérieures,
• Apache Tomcat versions 9.0.117 et supérieures.