[TLP:CLEAR] Apache opravuje 12 zraniteľností v rôznych produktoch
Apache opravuje 12 zraniteľností v rôznych produktoch [1]. Najzávažnejšie z nich nájdete nižšie. Produkty a ich opravené verzie: Apache Tomcat - 11.0.21, 10.1.54, 9.0.117 [2][3][4][5][6][7][8][9][10][11] Apache Tomcat Native - 1.3.7, 2.0.14 [8] Apache Airflow - 3.2.0 [12][13]
Neautentizovanému vzdialenému útočníkovi je v dôsledku chyby pri overovaní klientskych certifikátov umožnené obísť autentifikáciu, čo môže viesť k neoprávnenému prístupu k citlivým údajom a k ich následnej modifikácii [8].
Zraniteľnosť sa nachádza v produktoch:
- Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.20) OR (>=10.1.0-M7 AND <10.1.53) OR (>=9.0.83 AND <9.0.116)
- Apache Tomcat Native vo verziách (>=1.1.23 AND <=1.1.34) OR (>=1.2.0 AND <=1.2.39) OR (>=1.3.0 AND <1.3.7 AND >=2.0.0 AND <2.0.14)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2026-29145 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 9. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávneho zaznamenávania údajov do logovacích súborov umožnený prístup ku Kubernetes bearer tokenu, čo môže viesť k úniku citlivých údajov [3].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.21) OR (>=10.1.0-M1 AND <10.1.54) OR (>=9.0.13 AND <9.0.117).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2026-34487 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-532: Insertion of Sensitive Information into Log File at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 9. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nekonzistentnej interpretácie neplatných prípon v chunked kódovaní umožnené vykonať útok typu HTTP request smuggling [11].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=7.0.0 AND <=7.0.109) OR (>=8.5.0 AND <=8.5.100) OR (>=9.0.0.M1 AND <9.0.116) OR (>=10.1.0-M1 AND <10.1.52) OR (>=11.0.0-M1 AND <11.0.20).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2026-24880 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 9. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej expirácie JWT tokenu po odhlásení umožnené prevziať kontrolu nad reláciou používateľa [12].
Zraniteľnosť sa nachádza v produkte Apache Airflow vo verziách >=3.0.0 AND <3.2.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-57735 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-613: Insufficient Session Expiration at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 9. 4. 2026.
Odkazy
- [1] https://www.openwall.com/lists/oss-security/2026/04/09/
- [2] https://www.openwall.com/lists/oss-security/2026/04/09/29
- [3] https://www.openwall.com/lists/oss-security/2026/04/09/28
- [4] https://www.openwall.com/lists/oss-security/2026/04/09/27
- [5] https://www.openwall.com/lists/oss-security/2026/04/09/26
- [6] https://www.openwall.com/lists/oss-security/2026/04/09/25
- [7] https://www.openwall.com/lists/oss-security/2026/04/09/24
- [8] https://www.openwall.com/lists/oss-security/2026/04/09/23
- [9] https://www.openwall.com/lists/oss-security/2026/04/09/22
- [10] https://www.openwall.com/lists/oss-security/2026/04/09/21
- [11] https://www.openwall.com/lists/oss-security/2026/04/09/20
- [12] https://www.openwall.com/lists/oss-security/2026/04/09/16
- [13] https://www.openwall.com/lists/oss-security/2026/04/09/9
Za CESNET-CERTS Henrieta Paločková dňa 13. 4. 2026.
