Plataforma
java
Componente
org.apache.tomcat:tomcat-coyote
Corrigido em
11.0.20
10.1.53
9.0.116
9.0.116
Uma vulnerabilidade de 'Improper Input Validation' foi descoberta no Apache Tomcat, decorrente de uma correção incompleta de uma vulnerabilidade anterior (CVE-2025-66614). Essa falha pode permitir que atacantes injetem código malicioso e executem comandos no sistema. A vulnerabilidade afeta versões do Apache Tomcat entre 11.0.15 e 11.0.19. A correção para essa vulnerabilidade está disponível nas versões mencionadas.
A vulnerabilidade CVE-2026-32990 no Apache Tomcat representa um risco de segurança devido à validação inadequada de entrada. Esta falha é uma consequência de uma correção incompleta relacionada ao CVE-2025-66614. As versões afetadas incluem o Tomcat 11.0.15 a 11.0.19, 10.1.50 a 10.1.52 e 9.0.113 a 9.0.115. Um atacante pode potencialmente explorar esta vulnerabilidade para injetar código malicioso ou executar ações não autorizadas no servidor. A severidade CVSS foi classificada como 5.3, indicando um risco moderado. É crucial abordar esta vulnerabilidade para proteger suas aplicações web e dados sensíveis.
A vulnerabilidade se origina de uma validação de entrada incompleta, permitindo que um atacante manipule certos parâmetros para afetar o comportamento do servidor. Embora os detalhes específicos da exploração não tenham sido amplamente divulgados, a natureza da vulnerabilidade sugere que ela pode ser explorada por meio de solicitações HTTP maliciosas. A falta de uma correção completa para o CVE-2025-66614 contribui para este problema. Os administradores de sistemas são aconselhados a implementar medidas de segurança adicionais, como firewalls e sistemas de detecção de intrusão, para proteger seus servidores Tomcat.
Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.
• linux / server:
journalctl -u tomcat | grep -i "CVE-2026-32990"• generic web:
curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.
disclosure
Status do Exploit
EPSS
0.19% (percentil 40%)
Vetor CVSS
A solução recomendada para mitigar o CVE-2026-32990 é atualizar o Apache Tomcat para uma versão corrigida. Especificamente, recomenda-se atualizar para a versão 11.0.20, 10.1.53 ou 9.0.116. Essas versões incorporam as correções necessárias para abordar a validação de entrada deficiente. Recomenda-se aplicar a atualização o mais rápido possível para minimizar o risco de exploração. Antes de aplicar a atualização, é aconselhável fazer backup da configuração do Tomcat e testar a atualização em um ambiente de teste para garantir a compatibilidade com suas aplicações. Monitore os logs do servidor após a atualização para detectar quaisquer problemas inesperados.
Actualice Apache Tomcat a la versión 11.0.20, 10.1.53 o 9.0.116 para mitigar la vulnerabilidad de validación de entrada incorrecta. Esta actualización corrige una deficiencia que no se abordó completamente en una corrección anterior (CVE-2025-66614).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Apache Tomcat é um contêiner de servlets de código aberto que implementa as especificações Java Servlet, JavaServer Pages (JSP), Java Expression Language e WebSocket.
Você pode verificar a versão do Tomcat acessando a página inicial do Tomcat em seu navegador da web (geralmente em http://localhost:8080). A versão será exibida na página.
Você pode baixar as versões corrigidas do Tomcat do site oficial do Apache: https://tomcat.apache.org/download-90.cgi (para a versão 9), https://tomcat.apache.org/download-10.cgi (para a versão 10) ou https://tomcat.apache.org/download-11.cgi (para a versão 11).
Se não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como firewalls e sistemas de detecção de intrusão, para mitigar o risco.
Existem scanners de vulnerabilidade que podem ajudar a identificar se seu servidor Tomcat é vulnerável ao CVE-2026-32990. Consulte seu provedor de segurança para obter recomendações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.