Tomcat-catalina
Уязвимости
33
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99945
Распределение по критичности
Критический
9
Высокий
15
Средний
7
Низкий
2
Затронутые диапазоны версий
11.0.0-M14–11.0.2111.0.0-M1–11.0.011.0.0-M1–11.0.1111.0.0-M1–11.0.1211.0.0-M1–11.0.1511.0.0-M1–11.0.1811.0.0-M1–11.0.1911.0.0-M1–11.0.211.0.0-M1–11.0.2011.0.0-M1–11.0.2111.0.0-M1–11.0.2211.0.0-M1–11.0.311.0.0-M1–11.0.611.0.0-M1–11.0.711.0.0-M1–11.0.811.0.0-M1–11.0.911.0.15–11.0.2011.0.16–11.0.2011.0.20–11.0.21
Топ уязвимостей
CVE-2026-43512УДАЛЕННЫЙ: Аутентификация Байпасс Уязвимости в аутентификации дайджеста в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: от 11.0.0-M1 до 11.0.21, с 10.1.0-M1 до 10.1.54, с 9.0.M1 до 9.0.117, с 8.5.0 до 8.5.100, до 7.0.0.
Старые неподдерживаемые версии также влияют
Пользователям рекомендуется обновиться до версий 11.0.22, 10.1.55 или 9.0.118, которые исправляют проблему.
CVE-2025-31651Уязвимость неправильной нейтрализации escape-, meta- или control-последовательностей в Apache Tomcat. Для подмножества маловероятных конфигураций правил перезаписи было возможно, чтобы специально созданный запрос обходил некоторые правила перезаписи. Если эти правила перезаписи эффективно обеспечивали соблюдение ограничений безопасности, эти ограничения могли быть обойдены.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.5, с 10.1.0-M1 по 10.1.39, с 9.0.0.M1 по 9.0.102.
Следующие версии были признаны устаревшими на момент создания CVE, но известно, что они также затронуты: с 8.5.0 по 8.5.100. Другие старые версии, которые были признаны устаревшими, также могут быть затронуты.
Пользователям рекомендуется обновиться до версии [FIXED_VERSION], которая устраняет проблему [1].
Источники:
- [1] https://lists.apache.org/list.html?announce@tomcat.apache.org
CVE-2025-24813Уязвимость Path Equivalence: 'file.Name' (Internal Dot) в Apache Tomcat может привести к удаленному выполнению кода и/или раскрытию информации и/или добавлению вредоносного содержимого к загруженным файлам через включенный по умолчанию Default Servlet [1]. Эта проблема затрагивает Apache Tomcat версий от 11.0.0-M1 до 11.0.2, от 10.1.0-M1 до 10.1.34 и от 9.0.0.M1 до 9.0.98. Злоумышленник может просмотреть конфиденциальные файлы и/или внедрить содержимое в эти файлы при определенных условиях. Источники:
- [1] https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
CVE-2024-56337Уязвимость состояния гонки Time-of-check Time-of-use (TOCTOU) в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.1, с 10.1.0-M1 по 10.1.33, с 9.0.0.M1 по 9.0.97. Следующие версии были EOL на момент создания CVE, но известно, что они затронуты: с 8.5.0 по 8.5.100. Другие более старые версии EOL также могут быть затронуты.
Смягчение последствий CVE-2024-50379 было неполным.
Пользователям, запускающим Tomcat на файловой системе без учета регистра с включенной записью сервлета по умолчанию (параметр инициализации readonly установлен в нестандартное значение false), может потребоваться дополнительная конфигурация для полного смягчения CVE-2024-50379 в зависимости от версии Java, которую они используют с Tomcat:
- при запуске на Java 8 или Java 11: системное свойство sun.io.useCanonCaches должно быть явно установлено в false (по умолчанию true)
- при запуске на Java 17: системное свойство sun.io.useCanonCaches, если установлено, должно быть установлено в false (по умолчанию false)
- при запуске на Java 21 и выше: дополнительная конфигурация не требуется (системное свойство и проблемный кеш были удалены)
Tomcat версий 11.0.3, 10.1.35 и 9.0.99 и выше будут включать проверки, что sun.io.useCanonCaches установлен соответствующим образом, прежде чем разрешить включение записи сервлета по умолчанию на файловой системе без учета регистра. Tomcat также установит sun.io.useCanonCaches в false по умолчанию, где это возможно. Источники:
- [1] https://www.cve.org/CVERecord?id=CVE-2024-50379
- [2] https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp
CVE-2024-50379Уязвимость состояния гонки Time-of-check Time-of-use (TOCTOU) во время компиляции JSP в Apache Tomcat позволяет выполнить произвольный код (RCE) на файловых системах без учета регистра, когда сервлет по умолчанию включен для записи (нестандартная конфигурация).
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.1, с 10.1.0-M1 по 10.1.33, с 9.0.0.M1 по 9.0.97.
Следующие версии были признаны устаревшими на момент создания CVE, но известно, что они также затронуты: с 8.5.0 по 8.5.100. Другие старые версии, которые были признаны устаревшими, также могут быть затронуты.
Пользователям рекомендуется обновиться до версии 11.0.2, 10.1.34 или 9.0.98, что устраняет проблему [1].
Источники:
- [1] https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
CVE-2025-55754Выполнение произвольного кода в Apache Tomcat
CVE-2026-43515Уязвимость неправильная авторизация при нескольких ограничениях метода определяет метод HTTP для одного и того же расширения в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 до 11.0.21, с 10.1.0-M1 до 10.1.54, с 9.0.M1 до 9.0.117, с 8.5.0 до 8.5.100, с 7.0.0 до 7.0.109.
Пользователям рекомендуется обновиться до версий 11.0.22, 10.1.55 или 9.0.118, которые устраняют проблему.
CVE-2026-29145Аутентификация CLIENT_CERT не дает сбой, как ожидалось, для некоторых сценариев, когда soft fail является уязвимостью отключения в Apache Tomcat, Apache Tomcat Native.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.18, с 10.1.0-M7 до 10.1.52, с 9.0.83 до 9.0.115; Apache Tomcat Native: от 1.1.23 до 1.1.34, с 1.2.0 до 1.2.39, от 1.3.0 до 1.3.6, от 2.0.0 до 2.0.13.
Пользователям рекомендуется обновиться до версии Tomcat Native 1.3.7 или 2.0.14 и Tomcat 11.0.20, 10.1.53 и 9.0.116, которые исправят проблему.
CVE-2025-66614Неправильная уязвимость проверки входных данных.
Эта проблема затрагивает Apache Tomcat: от 11.0.0-M1 до 11.0.14, с 10.1.0-M1 до 10.1.49, с 9.0.0-M1 до 9.0.112.
Следующие версии были EOL в то время, когда был создан CVE, но
Известно, что он поражен: 8.5.0 до 8.5.100. Старые версии EOL не затрагиваются.
Tomcat не подтвердил, что имя хоста, предоставленное через SNI
расширение было таким же, как имя хоста, указанное в заголовке хоста HTTP
Поле. Если Tomcat был сконфигурирован с более чем одним виртуальным хоном и
Конфигурация TLS для одного из этих хостов не требовала клиента
аутентификация сертификата, но еще один сделал, это было возможно для
клиент для обхода аутентификации сертификата клиента путем отправки
различные имена хостов в расширении SNI и в поле заголовка хоста HTTP.
Уязвимость применяется только в том случае, если аутентификация сертификата клиента
Применяется только в Соединительном. Он не применяется, если клиентский сертификат
Аутентификация обеспечивается в веб-приложении.
Пользователям рекомендуется обновиться до версии 11.0.15 или позже, 10.1.50 или позже или 9.0.113 или более поздней версии, что исключит проблему.
CVE-2025-49124Уязвимость в установщике Apache Tomcat для Windows. Во время установки использовался icacls.exe без указания полного пути.
Эта уязвимость затрагивает Apache Tomcat версий от 11.0.0-M1 до 11.0.7, от 10.1.0 до 10.1.41 и от 9.0.23 до 9.0.105. Пользователям рекомендуется обновиться до версии 11.0.8, 10.1.42 или 9.0.106, чтобы исправить эту проблему [1].
Источники:
- [1] https://lists.apache.org/thread/lnow7tt2j6hb9kcpkggx32ht6o90vqzv
CVE-2026-43513Неправильное управление уязвимостью чувств в LockOutRealm в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: от 11.0.0-M1 до 11.0.21, с 10.1.0-M1 до 10.1.54, с 9.0.0.M1 до 9.0.117, с 8.5.0 до 8.5.100, с 7.0.0 до 7.0.109.
Могут быть затронуты и более старые неподдерживаемые версии.
Пользователям рекомендуется обновиться до версий 11.0.22, 10.1.55 или 9.0.118, которые исправляют проблему.
CVE-2026-41284Выделение ресурсов без лимитов или уязвимости дроссельной заслонки в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 до 11.0.21, с 10.1.0-M1 до 10.1.54, с 9.0.0.M1 до 9.0.117.
Старые, неподдерживаемые версии также могут быть затронуты.
Пользователям рекомендуется обновиться до версии [FIXED_VERSION], которая исправляет проблему.
CVE-2026-34487Вставка чувствительная информация в уязвимость файла журнала в облачном членстве для кластерного компонента Apache Tomcat обнажила токен на предъявителя Kubernetes.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 до 11.0.20, с 10.1.0-M1 до 10.1.53, с 9.0.13 до 9.0.116.
Пользователям рекомендуется обновиться до версий 11.0.21, 10.1.54 или 9.0.117, которые исправляют проблему.
CVE-2026-34486Недостающее шифрование уязвимости чувствительных данных в Apache Tomcat из-за исправления для CVE-2026-29146, позволяющего обойти шифроперецептор.
Эта проблема затрагивает Apache Tomcat: 11.0.20, 10.1.53, 9.0.116.
Пользователям рекомендуется обновиться до версий 11.0.21, 10.1.54 или 9.0.117, которые исправят проблему.
CVE-2026-34483Неправильное кодирование или выходная уязвимость в компоненте JsonAccessLogValve Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 до 11.0.20, с 10.1.0-M1 до 10.1.53, с 9.0.40 до 9.0.116.
Пользователям рекомендуется обновиться до версий 11.0.21, 10.1.54 или 9.0.117 , которые исправляют проблему.
CVE-2026-29146Уязвимость Oracle в Apache Tomcat's EncryptInterceptor с конфигурацией по умолчанию.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 до 11.0.18, с 10.0.0-M1 по 10.1.52, с 9.0.13 до 9.115, с 8.5.38 до 8.5.100, с 7.0.100 до 7.0.109.
Пользователям рекомендуется обновиться до версий 11.0.19, 10.1.53 и 9.0.116, что устраняет проблему.
CVE-2026-29129Настроенный порядок предпочтений шифра не сохранил уязвимость в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.16 до 11.0.18, с 10.1.51 по 10.1.52, с 9.0.114 до 9.0.115.
Пользователям рекомендуется обновиться до версий 11.0.20, 10.1.53 или 9.0.116, которые исправят проблему.
CVE-2026-24880Обход безопасности в Tomcat
CVE-2026-24734Уязвимость неправильная встроенная валидация в Apache Tomcat Native, Apache Tomcat.
При использовании OCSP-ответчика Tomcat Native (и порт FFM Tomcat Native) не завершили проверку или проверку свежести ответа OCSP, которые могли бы обойти отзыв сертификата.
Эта проблема затрагивает Apache Tomcat Native: от 1.3.0 до 1.3.4, от 2.0.0 до 2.0.11; Apache Tomcat: от 11.0.0-M1 до 11.0.17, от 10.1.0-M7 до 10.1.51, с 9.0.83 до 9.0.114.
Следующие версии были EOL в то время, когда был создан CVE, но
Известно, что это затрагивается: от 1.1.23 до 1.1.34, от 1.2.0 до 1.2.39. Старые версии EOL не затрагиваются.
Пользователям Apache Tomcat Native рекомендуется обновиться до версий 1.3.5 или позже или 2.0.12 или более поздней версии, что исключит проблему.
Пользователям Apache Tomcat рекомендуется обновиться до версий 11.0.18 или более поздней версии, 10.1.52 или позже или 9.0.115 или позже, которые исправят проблему.
CVE-2025-55752Выполнение произвольного кода в Apache Tomcat
CVE-2025-52520Для некоторых маловероятных конфигураций многопоточной загрузки уязвимость целочисленного переполнения в Apache Tomcat может привести к DoS путём обхода ограничений размера.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.8, с 10.1.0-M1 по 10.1.42, с 9.0.0.M1 по 9.0.106. Следующие версии были EOL на момент создания CVE, но известно, что они затронуты: с 8.5.0 по 8.5.100. Другие, более старые версии EOL также могут быть затронуты.
Пользователям рекомендуется обновиться до версии 11.0.9, 10.1.43 или 9.0.107, которые исправляют эту проблему. Некоторые технические детали были предоставлены в источнике [1].
Источники:
- [1] https://lists.apache.org/thread/trqq01bbxw6c92zx69kx2mw2qgmfy0o5
CVE-2025-49125Уязвимость обхода аутентификации с использованием альтернативного пути или канала в Apache Tomcat. При использовании PreResources или PostResources, смонтированных не в корне веб-приложения, было возможно получить доступ к этим ресурсам через неожиданный путь. Этот путь, скорее всего, не был защищен теми же ограничениями безопасности, что и ожидаемый путь, что позволяло обойти эти ограничения.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.7, с 10.1.0-M1 по 10.1.41, с 9.0.0.M1 по 9.0.105.
Следующие версии были признаны устаревшими на момент создания CVE, но известно, что они также затронуты: с 8.5.0 по 8.5.100. Другие старые версии, которые были признаны устаревшими, также могут быть затронуты.
Пользователям рекомендуется обновиться до версии 11.0.8, 10.1.42 или 9.0.106, которые устраняют проблему [1].
Источники:
- [1] https://lists.apache.org/thread/m66cytbfrty9k7dc4cg6tl1czhsnbywk
CVE-2025-48988Уязвимость в Apache Tomcat, связанная с выделением ресурсов без ограничений или дросселирования.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.7, с 10.1.0-M1 по 10.1.41, с 9.0.0.M1 по 9.0.105. Следующие версии были EOL на момент создания CVE, но известно, что они затронуты: 8.5.0 по 8.5.100. Другие, более старые, версии EOL также могут быть затронуты.
Пользователям рекомендуется обновиться до версии 11.0.8, 10.1.42 или 9.0.106, которые исправляют проблему [1].
Источники:
- [1] https://lists.apache.org/thread/nzkqsok8t42qofgqfmck536mtyzygp18
CVE-2025-46701Уязвимость неправильного обращения с чувствительностью к регистру в сервлете GCI Apache Tomcat позволяет обойти ограничения безопасности, которые применяются к компоненту pathInfo URI, сопоставленного с сервлетом CGI.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.6, с 10.1.0-M1 по 10.1.40, с 9.0.0.M1 по 9.0.104.
Следующие версии были признаны устаревшими на момент создания CVE, но известно, что они также затронуты: с 8.5.0 по 8.5.100. Другие старые версии, которые были признаны устаревшими, также могут быть затронуты.
Пользователям рекомендуется обновиться до версии 11.0.7, 10.1.41 или 9.0.105, которая устраняет проблему [1].
Источники:
- [1] https://lists.apache.org/thread/xhqqk9w5q45srcdqhogdk04lhdscv30j
CVE-2026-34500Аутентификация CLIENT_CERT не работает в упадке, как ожидалось, для некоторых сценариев, когда мягкий отказ отключен и FFM используется в Apache Tomcat.
Эта проблема затрагивает Apache Tomcat: с 11.0.0-M14 до 11.0.20, с 10.1.22 до 10.1.53, с 9.0.92 до 9.0.116.
Пользователям рекомендуется обновиться до версий 11.0.21, 10.1.54 или 9.0.117, что устраняет проблему.