CRITICAL✓ PATCH🇬🇧 English

CVE-2024-52316

Apache Tomcat — pominięcie uwierzytelnienia przez nieobsłużony wyjątek JASPIC

CVSS 9.8v3.1pub. 2024-11-18upd. 2025-11-07

Podatność w Apache Tomcat pozwala na ominięcie procesu uwierzytelnienia w przypadku użycia niestandardowego komponentu Jakarta Authentication (JASPIC) ServerAuthContext, który rzuca wyjątek bez jawnego ustawienia kodu błędu HTTP. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a atakujący może uzyskać pełny dostęp do chronionych zasobów.

Pokaż oryginał (EN)

Unchecked Error Condition vulnerability in Apache Tomcat. If Tomcat is configured to use a custom Jakarta Authentication (formerly JASPIC) ServerAuthContext component which may throw an exception during the authentication process without explicitly setting an HTTP status to indicate failure, the authentication may not fail, allowing the user to bypass the authentication process. There are no known Jakarta Authentication components that behave in this way. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M26, from 10.1.0-M1 through 10.1.30, from 9.0.0-M1 through 9.0.95. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 though 8.5.100. Other EOL versions may also be affected. Users are recommended to upgrade to version 11.0.0, 10.1.31 or 9.0.96, which fix the issue.

🤖 Analiza AI
Jak działa

Gdy Apache Tomcat korzysta z niestandardowego komponentu ServerAuthContext w ramach Jakarta Authentication (dawniej JASPIC), i komponent ten rzuca wyjątek podczas procesu uwierzytelnienia bez jawnego ustawienia kodu odpowiedzi HTTP sygnalizującego niepowodzenie, serwer może błędnie uznać uwierzytelnienie za zakończone sukcesem. Jest to błąd kategorii CWE-391 (Unchecked Error Condition) oraz CWE-754 (Improper Check for Unusual Exceptional Conditions) — aplikacja nie weryfikuje poprawnie stanu błędu i kontynuuje przetwarzanie żądania tak, jakby użytkownik był uwierzytelniony. Apache wskazuje, że nie są znane standardowe komponenty Jakarta Authentication wykazujące takie zachowanie, co ogranicza zasięg podatności do środowisk stosujących niestandardowe implementacje.

Skutki

Atakujący może ominąć mechanizm uwierzytelnienia i uzyskać nieautoryzowany dostęp do chronionych zasobów aplikacji, co może prowadzić do naruszenia poufności, integralności i dostępności danych przetwarzanych przez serwer.

Mitygacja

Należy zaktualizować Apache Tomcat do wersji 11.0.0, 10.1.31 lub 9.0.96, które zawierają poprawkę. Wersja 8.5.x jest oznaczona jako EOL i nie otrzyma oficjalnej poprawki — zaleca się migrację do wspieranej gałęzi. Jako obejście można rozważyć zastąpienie lub usunięcie niestandardowego komponentu JASPIC ServerAuthContext, który nie obsługuje jawnie kodów błędów HTTP przy wyjątkach.

Kogo dotyczy

Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.0-M26, 10.1.0-M1 do 10.1.30, 9.0.0-M1 do 9.0.95. Wersje EOL: 8.5.0 do 8.5.100 (oraz potencjalnie inne wersje EOL). Podatność dotyczy wyłącznie konfiguracji używających niestandardowego komponentu JASPIC ServerAuthContext. Dotyczy również Debian Linux (pakiety Apache Tomcat).

Uwagi

Podatność dotyczy wyłącznie środowisk skonfigurowanych z niestandardowym komponentem Jakarta Authentication (JASPIC) ServerAuthContext. Apache wskazuje wprost, że nie są znane standardowe komponenty JASPIC wykazujące podatne zachowanie, co ogranicza praktyczny zasięg podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    11.0.09.0.0 – 9.0.96 (bez)10.1.0 – 10.1.31 (bez)
  • Debian

    OS
    Debian
    11.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki