CVE-2026-24733

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Tomcat 11.0.0-M1 até 11.0.14 Versões do Apache Tomcat 10.1.0-M1 até 10.1.49 Versões do Apache Tomcat 9.0.0-M1 até 9.0.112 Versões mais antigas, de Fim de Vida (EOL), também são afetadas

Descrição O Apache Tomcat não limita corretamente as requisições HTTP/0.9 ao método GET. Isso permite que um invasor contorne restrições de segurança. Especificamente, se uma restrição de segurança estiver configurada para permitir requisições HEAD para um Identificador Uniforme de Recursos (URI), mas negar requisições GET para o mesmo URI, um usuário pode contornar essa restrição em requisições GET enviando uma requisição HEAD inválida segundo a especificação usando HTTP/0.9. Isso é conseguido enviando uma requisição manipulada no estilo HTTP/0.9 que contorna a aplicação pretendida das restrições de segurança. O problema ocorre quando uma restrição de segurança do Tomcat permite requisições HEAD enquanto nega requisições GET para o mesmo URI.

Recomendações Atualize para a versão 11.0.15 ou posterior do Apache Tomcat. Atualize para a versão 10.1.50 ou posterior do Apache Tomcat. Atualize para a versão 9.0.113 ou posterior do Apache Tomcat.