Avi Lumelsky

**Nome do Software Vulnerável e Versões Afetadas** Apache Tomcat versões 11.0.0-M1 até 11.0.18 Apache Tomcat versões 10.0.0-M1 até 10.1.52 Apache Tomcat versões 9.0.13 até 9.115 Apache Tomcat versões 8.5.38 até 8.5.100 Apache Tomcat versões 7.0.100 até 7.0.109 **Descrição** Um problema de Padding Oracle existe no `EncryptInterceptor` ao usar a configuração padrão, pois ele utiliza o modo CBC (Cipher Block Chaining). Esta falha está relacionada a deficiências no mecanismo de relatórios de erro, o que pode permitir que um invasor remoto execute um ataque de Padding Oracle para obter acesso não autorizado a informações protegidas. **Recomendações** Atualizar as versões 11.0.0-M1 até 11.0.18 para a versão 11.0.19. Atualizar as versões 10.0.0-M1 até 10.1.52 para a versão 10.1.53. Atualizar as versões 9.0.13 até 9.115 para a versão 9.0.116. No momento, não há informações sobre uma versão mais recente que contenha a correção para as versões do Apache Tomcat 8.5.38 até 8.5.100 e 7.0.100 até 7.0.109.