Plateforme
java
Composant
org.apache.tomcat:tomcat-coyote
Corrigé dans
11.0.20
10.1.53
9.0.116
9.0.116
La vulnérabilité CVE-2026-32990 affecte Apache Tomcat en raison d'une correction incomplète d'une vulnérabilité antérieure (CVE-2025-66614). Cette faille peut entraîner une validation incorrecte des entrées, potentiellement conduisant à des attaques de type injection. Elle touche les versions de Tomcat comprises entre 11.0.15 et 11.0.19. Une correction est disponible dans les versions 11.0.20, 10.1.53 et 9.0.116.
La vulnérabilité CVE-2026-32990 dans Apache Tomcat représente un risque de sécurité dû à une validation d'entrée incorrecte. Cette faille est une conséquence d'une correction incomplète liée au CVE-2025-66614. Les versions affectées incluent Tomcat 11.0.15 à 11.0.19, 10.1.50 à 10.1.52 et 9.0.113 à 9.0.115. Un attaquant pourrait potentiellement exploiter cette vulnérabilité pour injecter du code malveillant ou effectuer des actions non autorisées sur le serveur. La sévérité CVSS a été notée comme 5.3, indiquant un risque modéré. Il est crucial de traiter cette vulnérabilité pour protéger vos applications web et vos données sensibles.
La vulnérabilité provient d'une validation d'entrée incomplète, permettant à un attaquant de manipuler certains paramètres pour affecter le comportement du serveur. Bien que les détails spécifiques de l'exploitation n'aient pas été largement divulgués, la nature de la vulnérabilité suggère qu'elle pourrait être exploitée par le biais de requêtes HTTP malveillantes. L'absence d'une correction complète du CVE-2025-66614 contribue à ce problème. Les administrateurs système sont invités à mettre en œuvre des mesures de sécurité supplémentaires, telles que des pare-feu et des systèmes de détection d'intrusion, pour protéger leurs serveurs Tomcat.
Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.
• linux / server:
journalctl -u tomcat | grep -i "CVE-2026-32990"• generic web:
curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 40%)
Vecteur CVSS
La solution recommandée pour atténuer CVE-2026-32990 est de mettre à niveau Apache Tomcat vers une version corrigée. Plus précisément, il est conseillé de passer à la version 11.0.20, 10.1.53 ou 9.0.116. Ces versions intègrent les corrections nécessaires pour résoudre la validation d'entrée défectueuse. Il est recommandé d'appliquer la mise à niveau dès que possible pour minimiser le risque d'exploitation. Avant d'appliquer la mise à niveau, il est conseillé de sauvegarder la configuration de Tomcat et de tester la mise à niveau dans un environnement de test pour garantir la compatibilité avec vos applications. Surveillez les journaux du serveur après la mise à niveau pour détecter tout problème inattendu.
Actualice Apache Tomcat a la versión 11.0.20, 10.1.53 o 9.0.116 para mitigar la vulnerabilidad de validación de entrada incorrecta. Esta actualización corrige una deficiencia que no se abordó completamente en una corrección anterior (CVE-2025-66614).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Apache Tomcat est un conteneur de servlets open source qui implémente les spécifications Java Servlet, JavaServer Pages (JSP), Java Expression Language et WebSocket.
Vous pouvez vérifier la version de Tomcat en accédant à la page d'accueil de Tomcat dans votre navigateur web (généralement à l'adresse http://localhost:8080). La version sera affichée sur la page.
Vous pouvez télécharger les versions corrigées de Tomcat depuis le site web officiel d'Apache : https://tomcat.apache.org/download-90.cgi (pour la version 9), https://tomcat.apache.org/download-10.cgi (pour la version 10) ou https://tomcat.apache.org/download-11.cgi (pour la version 11).
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que des pare-feu et des systèmes de détection d'intrusion, pour atténuer le risque.
Il existe des scanners de vulnérabilités qui peuvent vous aider à déterminer si votre serveur Tomcat est vulnérable au CVE-2026-32990. Consultez votre fournisseur de sécurité pour obtenir des recommandations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.