Vulnerabilidades críticas en Apache Tomcat permiten bypass de autenticación

La Fundación Apache ha revelado dos vulnerabilidades en Apache Tomcat (CVE-2026-55957 y CVE-2026-55956) que permiten a atacantes eludir mecanismos de autenticación y restricciones de seguridad en aplicaciones web. Ambas afectan componentes clave del contenedor de servlets, como el JNDIRealm y las reglas de seguridad del servlet predeterminado, habilitando acceso no autorizado a recursos protegidos mediante omisión o ignorancia de métodos HTTP configurados. La explotación requiere interacción con endpoints restringidos pero mal implementados.

CVE y severidad

  • CVE-2026-55957 (Importante): Bypass de autenticación en JNDIRealm con GSSAPI. Afecta versiones de Tomcat 9.0.x, 10.1.x y 11.0.x hasta las especificadas.
  • CVE-2026-55956 (Moderada): Fallo en la aplicación de restricciones de métodos HTTP en el servlet predeterminado. Impacta un rango más amplio de versiones, incluyendo ramas no soportadas.

Productos afectados

Fabricante Producto Componente Versiones afectadas
Apache Software Foundation Apache Tomcat JNDIRealm (GSSAPI) 9.0.0.M1–9.0.100, 10.1.0-M1–10.1.36, 11.0.0-M1–11.0.4
Apache Software Foundation Apache Tomcat Servlet predeterminado (restricciones HTTP) 9.0.0.M1–9.0.118, 10.1.0-M1–10.1.55, 11.0.0-M1–11.0.22

Solución

Actualizar a Apache Tomcat 11.0.5 o superior, 10.1.37 o superior, o 9.0.101 o superior (para CVE-2026-55957); y a 11.0.23 o superior, 10.1.56 o superior, o 9.0.119 o superior (para CVE-2026-55956).

Recomendaciones

Priorizar la actualización en entornos críticos, especialmente donde el servlet predeterminado maneje datos sensibles o se utilice JNDIRealm con autenticación LDAP. Verificar post-upgrade la correcta aplicación de las restricciones en web.xml mediante pruebas de acceso controlado. Considerar la migración a versiones soportadas si se usan ramas no actualizadas.

Referencias