
La Fundación Apache ha revelado dos vulnerabilidades en Apache Tomcat (CVE-2026-55957 y CVE-2026-55956) que permiten a atacantes eludir mecanismos de autenticación y restricciones de seguridad en aplicaciones web. Ambas afectan componentes clave del contenedor de servlets, como el JNDIRealm y las reglas de seguridad del servlet predeterminado, habilitando acceso no autorizado a recursos protegidos mediante omisión o ignorancia de métodos HTTP configurados. La explotación requiere interacción con endpoints restringidos pero mal implementados.
CVE y severidad
- CVE-2026-55957 (Importante): Bypass de autenticación en
JNDIRealmcon GSSAPI. Afecta versiones de Tomcat 9.0.x, 10.1.x y 11.0.x hasta las especificadas. - CVE-2026-55956 (Moderada): Fallo en la aplicación de restricciones de métodos HTTP en el servlet predeterminado. Impacta un rango más amplio de versiones, incluyendo ramas no soportadas.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Apache Software Foundation | Apache Tomcat | JNDIRealm (GSSAPI) | 9.0.0.M1–9.0.100, 10.1.0-M1–10.1.36, 11.0.0-M1–11.0.4 |
| Apache Software Foundation | Apache Tomcat | Servlet predeterminado (restricciones HTTP) | 9.0.0.M1–9.0.118, 10.1.0-M1–10.1.55, 11.0.0-M1–11.0.22 |
Solución
Actualizar a Apache Tomcat 11.0.5 o superior, 10.1.37 o superior, o 9.0.101 o superior (para CVE-2026-55957); y a 11.0.23 o superior, 10.1.56 o superior, o 9.0.119 o superior (para CVE-2026-55956).
Recomendaciones
Priorizar la actualización en entornos críticos, especialmente donde el servlet predeterminado maneje datos sensibles o se utilice JNDIRealm con autenticación LDAP. Verificar post-upgrade la correcta aplicación de las restricciones en web.xml mediante pruebas de acceso controlado. Considerar la migración a versiones soportadas si se usan ramas no actualizadas.
