PT-2024-8689 · Apache+4 · Apache Tomcat+4
Mark Thomas
·
Publicado
2024-02-03
·
Atualizado
2026-04-28
·
CVE-2024-52316
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat 11.0.0-M1 a 11.0.0-M26
Versões do Apache Tomcat 10.1.0-M1 a 10.1.30
Versões do Apache Tomcat 9.0.0-M1 a 9.0.95
Descrição
O problema está relacionado a uma vulnerabilidade de condição de erro não verificada no Apache Tomcat. Se o Tomcat estiver configurado para usar um componente ServerAuthContext personalizado do Jakarta Authentication que possa lançar uma exceção durante o processo de autenticação sem definir explicitamente um status HTTP para indicar falha, a autenticação pode não falhar, permitindo que o usuário contorne o processo de autenticação. Não há componentes de autenticação do Jakarta conhecidos que se comportem dessa maneira. Essa vulnerabilidade poderia permitir que um invasor remoto contornasse o processo de autenticação e causasse uma negação de serviço.
Recomendações
Para resolver o problema, atualize para a versão 11.0.0, 10.1.31 ou 9.0.96, que corrigem o problema.
Para as versões 11.0.0-M1 a 11.0.0-M26, atualize para a versão 11.0.0.
Para as versões 10.1.0-M1 a 10.1.30, atualize para a versão 10.1.31.
Para as versões 9.0.0-M1 a 9.0.95, atualize para a versão 9.0.96.
Exploit
Correção
DoS
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Red Os
Suse