anonhaven

CVE-2026-29146

HIGH CVSS 3.1: 7,5 EPSS 0.10%
Обновлено 10 апреля 2026
Oracle
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии 9.0.13 — 9..115
Устранено в версии 11.0.19
Тип уязвимости CWE-642, CWE-209 (Раскрытие через ошибки)
Поставщик Oracle
Публичный эксплойт Нет

Добавление уязвимости Oracle в EncryptInterceptor Apache Tomcat с конфигурацией по умолчанию. Эта проблема затрагивает Apache Tomcat: с 11.0.0-M1 по 11.0.18, с 10.0.0-M1 по 10.1.52, с 9.0.13 по 9..115, с 8.5.38 по 8.5.100, с 7.0.100 по 7.0.109. Пользователям рекомендуется выполнить обновление до версий 11.0.19, 10.1.53 и 9.0.116, что устраняет проблему.

Показать оригинальное описание (EN)

Padding Oracle vulnerability in Apache Tomcat's EncryptInterceptor with default configuration. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.18, from 10.0.0-M1 through 10.1.52, from 9.0.13 through 9..115, from 8.5.38 through 8.5.100, from 7.0.100 through 7.0.109. Users are recommended to upgrade to version 11.0.19, 10.1.53 and 9.0.116, which fixes the issue.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-642
CWE-209 Information Exposure Through Error Message (Раскрытие через ошибки)

Ссылки 2

https://lists.apache.org/thread/lzt04z2pb3dc5tk85obn80xygw3z1p0w
security@apache.org
http://www.openwall.com/lists/oss-security/2026/04/09/24
af854a3a-2127-422b-91ae-364da2661108
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40193

Oracle

8,2

CVE-2026-5504

Oracle

6,3

CVE-2026-39974

Oracle

8,5

CVE-2026-35187

Oracle

7,7

CVE-2026-34595

Oracle

5,3