Se ha identificado una vulnerabilidad de seguridad en Apache Tomcat que afecta al componente EncryptInterceptor, la cual permite a un atacante descifrar información sensible mediante un ataque criptográfico conocido como Padding Oracle.
Esta vulnerabilidad podría permitir el acceso no autorizado a datos confidenciales, como cookies de sesión, comprometiendo la seguridad de las aplicaciones web desplegadas sobre este servidor.
CVE y severidad
| CVE | Severidad | Componente afectado | Descripción breve |
|---|---|---|---|
| CVE-2026-29146 | Importante | EncryptInterceptor (modo CBC) | Vulnerabilidad de padding oracle que permite descifrar tráfico interceptado mediante el uso de Cipher Block Chaining por defecto. |
| CVE-2026-34486 | Crítica | EncryptInterceptor | Error en parche que provoca bypass completo del EncryptInterceptor, exponiendo el sistema a interceptación. |
| CVE-2026-34500 | Moderada | Validación OCSP en Tomcat | Error que provoca soft fail en validación OCSP incluso si está deshabilitado, afectando la autenticación CLIENT_CERT. |
Productos afectados
| Producto | Versiones afectadas |
|---|---|
| Apache Tomcat (bypass EncryptInterceptor) | 9.0.116, 10.1.53, 11.0.20 |
| Apache Tomcat (padding oracle y validación OCSP) | 9.0.13 a 9.0.116, 10.1.0-M1 a 10.1.53, 11.0.0-M1 a 11.0.20 |
Solución
Actualizar Apache Tomcat a las versiones 11.0.21, 10.1.54 o 9.0.117 o superiores.
Recomendaciones
Priorizar la actualización inmediata de todos los sistemas afectados para corregir estos graves fallos de seguridad; validar la correcta instalación y funcionamiento tras la actualización; restringir la exposición de los servicios mientras se aplica el parche.