Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità CVE-2026-29146 in Apache Tomcat espone i server a padding oracle attack a causa dell’uso di CBC nell’EncryptInterceptor. Il problema riguarda diverse versioni e consente potenziali attacchi alla cifratura. Un errore nella prima patch ha introdotto un ulteriore bypass, aggravando il rischio. Apache ha rilasciato aggiornamenti correttivi. La falla è rilevante perché colpisce configurazioni di default, aumentando l’esposizione globale.
Una nuova debolezza nella cifratura sta riaccendendo l’attenzione su un software molto diffuso, Apache Tomcat, soprattutto nei contesti enterprise dove spesso viene esposto direttamente su Internet per la peculiarità del servizio.
Il bug di sicurezza, monitorato con il codice CVE-2026-29146, coinvolge l’uso predefinito dell’EncryptInterceptor, che adottava la modalità CBC rendendola esposta a un padding oracle attack. Uri Katz e Avi Lumelsky di Oligo Security hanno segnalato il bug che è stato, pubblicato il 9 aprile 2026, dopo aver verificato il suo comportamento sulle diverse versioni del prodotto.
Il difetto riguarda principalmente le release dalla 11.0.0-M1 fino alla 11.0.18, dalla 10.1.0-M1 alla 10.1.52 e dalla 9.0.13 alla 9.0.115. Le configurazioni di questi prodotti, consentono ad un attaccante di sfruttare la gestione degli errori crittografici per poter ricostruire le informazioni sensibili, interrogando il sistema con richieste costruite con precisione.
La criticità non è assolutamente teorica, perché gli ambienti reali con i cluster attivi e le comunicazioni cifrate interne possono essere esposti ai tentativi di decifrazione.
La correzione ha introdotto anche un nuovo problema, che è monitorato con il CVE-2026-34486. Si tratta di una implementazione incompleta del fix che ha permesso il bypass dell’EncryptInterceptor nella versione 11.0.20. Questo bypass ha creando di fatto una finestra in cui il controllo di sicurezza che risulta aggirabile. Non è un caso infatti, he la patch sia arrivata solo con la versione 11.0.21, segno della complessità sottovalutata nella gestione della crittografia applicativa.
Oltre queste CVE, emergono altri difetti con severità diversa.
Il CVE-2026-34500 mostra come l’autenticazione CLIENT_CERT non fallisse correttamente in alcune condizioni quando il soft fail è disabilitato e viene utilizzato FFM. In uno scenario reale, questo comportamento può consentire accessi non previsti, in quanto il sistema accetta certificati che dovrebbero essere invce rifiutati.
Abbiamo inoltre il CVE-2026-34487, il quale ha esposto il bearer token Kubernetes nei log del componente di clustering cloud e il CVE-2026-34483 che introduce una possibilità di injection nei log JSON.
Gli aggiornamenti sono l’unica strada concreta per proteggere i sistemi. Chi resta su versioni precedenti porta con se i bug di sicurezza sponendo le proprie infrastrutture attraverso exploit che possono evolvere rapidamente in quanto i dettagli tecnici sono di fatto pubblici.
