Platform
java
Component
org.apache.tomcat:tomcat-coyote
Opgelost in
11.0.20
10.1.53
9.0.116
9.0.116
CVE-2026-32990 is een kwetsbaarheid in Apache Tomcat die voortkomt uit een onvolledige correctie van een eerdere kwetsbaarheid (CVE-2025-66614). Deze kwetsbaarheid betreft een Improper Input Validation, wat kan leiden tot onvoorspelbaar gedrag. De kwetsbaarheid treft Apache Tomcat versies van 11.0.15 tot 11.0.19. Een update naar versie 11.0.20, 10.1.53 of 9.0.116 is beschikbaar om dit probleem te verhelpen.
CVE-2026-32990 in Apache Tomcat vormt een beveiligingsrisico vanwege onjuiste invoervalidatie. Deze fout is een gevolg van een onvolledige correctie gerelateerd aan CVE-2025-66614. Aangetaste versies omvatten Tomcat 11.0.15 tot 11.0.19, 10.1.50 tot 10.1.52 en 9.0.113 tot 9.0.115. Een aanvaller kan deze kwetsbaarheid mogelijk uitbuiten om kwaadaardige code in te voegen of ongeautoriseerde acties op de server uit te voeren. De CVSS-ernst is beoordeeld als 5.3, wat een matig risico aangeeft. Het is cruciaal om deze kwetsbaarheid aan te pakken om uw webapplicaties en gevoelige gegevens te beschermen.
De kwetsbaarheid ontstaat door onvolledige invoervalidatie, waardoor een aanvaller bepaalde parameters kan manipuleren om het gedrag van de server te beïnvloeden. Hoewel de specifieke details van de exploitatie nog niet breed bekendgemaakt zijn, suggereert de aard van de kwetsbaarheid dat deze kan worden uitgebuit via kwaadaardige HTTP-verzoeken. Het ontbreken van een volledige fix voor CVE-2025-66614 draagt bij aan dit probleem. Systeembeheerders worden geadviseerd om aanvullende beveiligingsmaatregelen te implementeren, zoals firewalls en intrusion detection systemen, om hun Tomcat-servers te beschermen.
Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.
• linux / server:
journalctl -u tomcat | grep -i "CVE-2026-32990"• generic web:
curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.
disclosure
Exploit Status
EPSS
0.19% (40% percentiel)
CVSS-vector
De aanbevolen oplossing om CVE-2026-32990 te verzachten is het upgraden van Apache Tomcat naar een gepatchte versie. Specifiek wordt een upgrade naar versie 11.0.20, 10.1.53 of 9.0.116 aanbevolen. Deze versies bevatten de nodige fixes om de onjuiste invoervalidatie aan te pakken. Het wordt aanbevolen om de upgrade zo snel mogelijk toe te passen om het risico op uitbuiting te minimaliseren. Voordat u de upgrade toepast, is het raadzaam om een back-up van uw Tomcat-configuratie te maken en de upgrade te testen in een staging-omgeving om de compatibiliteit met uw applicaties te garanderen. Controleer de serverlogboeken na de upgrade op onverwachte problemen.
Actualice Apache Tomcat a la versión 11.0.20, 10.1.53 o 9.0.116 para mitigar la vulnerabilidad de validación de entrada incorrecta. Esta actualización corrige una deficiencia que no se abordó completamente en una corrección anterior (CVE-2025-66614).
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Apache Tomcat is een open-source servletcontainer die de Java Servlet-, JavaServer Pages (JSP-) en Java Expression Language-specificaties, en WebSocket implementeert.
U kunt de Tomcat-versie controleren door de Tomcat-startpagina in uw webbrowser te bezoeken (meestal op http://localhost:8080). De versie wordt op de pagina weergegeven.
U kunt de gepatchte versies van Tomcat downloaden van de officiële Apache-website: https://tomcat.apache.org/download-90.cgi (voor versie 9), https://tomcat.apache.org/download-10.cgi (voor versie 10) of https://tomcat.apache.org/download-11.cgi (voor versie 11).
Als u Tomcat niet onmiddellijk kunt upgraden, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals firewalls en intrusion detection systemen, om het risico te beperken.
Er zijn vulnerability scanners die u kunnen helpen bepalen of uw Tomcat-server kwetsbaar is voor CVE-2026-32990. Raadpleeg uw beveiligingsprovider voor aanbevelingen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.