Apache Tomcat - CVE-2026-55957

Date de publication : 30/06/2026

Il s'agit d'une vulnérabilité dans l'implémentation JNDIRealm d'Apache Tomcat, spécifiquement lorsque ce realm est configuré pour authentifier les connexions via une liaison authentifiée GSSAPI auprès d'un annuaire LDAP.

Apache Tomcat est un conteneur de servlets et serveur d'applications Java, utilisé pour héberger et exécuter des applications web conformes aux spécifications Jakarta Servlet, JSP et WebSocket.

Le mécanisme omet une étape critique de vérification du processus d'authentification, ce qui fait que le résultat de la liaison GSSAPI n'est pas correctement validé avant d'être considéré comme réussi.

Elle permet à un attaquant de s'authentifier sans fournir le mot de passe correct, contournant ainsi entièrement le contrôle d'accès reposant sur ce realm.

CVE-2026-55957

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-304 : Missing Critical Step in Authentication

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Apache Tomcat versions 11.0.0-M1 à 11.0.4
•   Apache Tomcat versions 10.1.0-M1 à 10.1.36
•   Apache Tomcat versions 9.0.0.M1 à 9.0.100
•   Apache Tomcat versions 8.5.0 à 8.5.100
•   Apache Tomcat versions 7.0.0 à 7.0.109
•   Les versions antérieures à 7.0.0, non maintenues, peuvent également être affectées

Apache Tomcat - CVE-2026-55957

Informations

Exploitation

Systèmes ou composants affectés

Solutions ou recommandations

Liens