CVE-2026-29146

Nome do Software Vulnerável e Versões Afetadas Apache Tomcat versões 11.0.0-M1 até 11.0.18 Apache Tomcat versões 10.0.0-M1 até 10.1.52 Apache Tomcat versões 9.0.13 até 9.115 Apache Tomcat versões 8.5.38 até 8.5.100 Apache Tomcat versões 7.0.100 até 7.0.109

Descrição Um problema de Padding Oracle existe no EncryptInterceptor ao usar a configuração padrão, pois ele utiliza o modo CBC (Cipher Block Chaining). Esta falha está relacionada a deficiências no mecanismo de relatórios de erro, o que pode permitir que um invasor remoto execute um ataque de Padding Oracle para obter acesso não autorizado a informações protegidas.

Recomendações Atualizar as versões 11.0.0-M1 até 11.0.18 para a versão 11.0.19. Atualizar as versões 10.0.0-M1 até 10.1.52 para a versão 10.1.53. Atualizar as versões 9.0.13 até 9.115 para a versão 9.0.116. No momento, não há informações sobre uma versão mais recente que contenha a correção para as versões do Apache Tomcat 8.5.38 até 8.5.100 e 7.0.100 até 7.0.109.