Plattform
java
Komponente
org.apache.tomcat:tomcat-coyote
Behoben in
11.0.20
10.1.53
9.0.116
9.0.116
CVE-2026-32990 describes an improper input validation vulnerability discovered in Apache Tomcat. This issue stems from an incomplete remediation of a previous vulnerability (CVE-2025-66614), potentially allowing attackers to exploit weaknesses in request parsing. The vulnerability impacts Apache Tomcat versions 11.0.15 through 11.0.19, 10.1.50 through 10.1.52, and 9.0.113 through 9.0.115. Affected users should upgrade to a patched version.
Die CVE-2026-32990-Schwachstelle in Apache Tomcat stellt ein Sicherheitsrisiko aufgrund einer fehlerhaften Eingabevalidierung dar. Dieser Fehler ist eine Folge einer unvollständigen Behebung von CVE-2025-66614. Betroffene Versionen umfassen Tomcat 11.0.15 bis 11.0.19, 10.1.50 bis 10.1.52 und 9.0.113 bis 9.0.115. Ein Angreifer könnte diese Schwachstelle möglicherweise ausnutzen, um bösartigen Code einzuschleusen oder unautorisierte Aktionen auf dem Server durchzuführen. Die CVSS-Schwere wurde mit 5.3 bewertet, was ein moderates Risiko anzeigt. Es ist entscheidend, diese Schwachstelle zu beheben, um Ihre Webanwendungen und sensible Daten zu schützen.
Die Schwachstelle ergibt sich aus einer unvollständigen Eingabevalidierung, die es einem Angreifer ermöglicht, bestimmte Parameter zu manipulieren, um das Verhalten des Servers zu beeinflussen. Obwohl die spezifischen Details der Ausnutzung noch nicht weitgehend bekannt gegeben wurden, deutet die Art der Schwachstelle darauf hin, dass sie über bösartige HTTP-Anfragen ausgenutzt werden könnte. Das Fehlen einer vollständigen Behebung von CVE-2025-66614 trägt zu diesem Problem bei. Systemadministratoren werden empfohlen, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie z. B. Firewalls und Intrusion-Detection-Systeme, um ihre Tomcat-Server zu schützen.
Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.
• linux / server:
journalctl -u tomcat | grep -i "CVE-2026-32990"• generic web:
curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.
disclosure
Exploit-Status
EPSS
0.19% (40% Perzentil)
CVSS-Vektor
Die empfohlene Lösung zur Minderung von CVE-2026-32990 ist die Aktualisierung von Apache Tomcat auf eine behobene Version. Insbesondere wird ein Upgrade auf Version 11.0.20, 10.1.53 oder 9.0.116 empfohlen. Diese Versionen enthalten die notwendigen Behebungen, um die fehlerhafte Eingabevalidierung zu beheben. Es wird empfohlen, das Upgrade so bald wie möglich anzuwenden, um das Risiko einer Ausnutzung zu minimieren. Bevor Sie das Upgrade anwenden, sollten Sie eine Sicherungskopie Ihrer Tomcat-Konfiguration erstellen und das Upgrade in einer Staging-Umgebung testen, um die Kompatibilität mit Ihren Anwendungen sicherzustellen. Überwachen Sie die Serverprotokolle nach dem Upgrade auf unerwartete Probleme.
Actualice Apache Tomcat a la versión 11.0.20, 10.1.53 o 9.0.116 para mitigar la vulnerabilidad de validación de entrada incorrecta. Esta actualización corrige una deficiencia que no se abordó completamente en una corrección anterior (CVE-2025-66614).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Apache Tomcat ist ein Open-Source-Servlet-Container, der die Java-Servlet-, JavaServer-Pages- (JSP-) und Java-Expression-Language-Spezifikationen sowie WebSocket implementiert.
Sie können die Tomcat-Version überprüfen, indem Sie die Tomcat-Startseite in Ihrem Webbrowser aufrufen (normalerweise unter http://localhost:8080). Die Version wird auf der Seite angezeigt.
Sie können die behobenen Versionen von Tomcat von der offiziellen Apache-Website herunterladen: https://tomcat.apache.org/download-90.cgi (für Version 9), https://tomcat.apache.org/download-10.cgi (für Version 10) oder https://tomcat.apache.org/download-11.cgi (für Version 11).
Wenn Sie Tomcat nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. Firewalls und Intrusion-Detection-Systeme, um das Risiko zu mindern.
Es gibt Schwachstellenscanner, die Ihnen helfen können festzustellen, ob Ihr Tomcat-Server anfällig für CVE-2026-32990 ist. Wenden Sie sich an Ihren Sicherheitsanbieter, um Empfehlungen zu erhalten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.