Vol. 2 (abr. 2026) | Pp. 189–191 | ISSN 3086-6103
Alerta: Falhas no Apache Tomcat podem levar a acesso não autorizado
Estamos cientes de divulgação pública que detalha múltiplas vulnerabilidades no servidor de aplicações Apache Tomcat. Essas falhas podem permitir desde execução remota de código até fuga de sandbox, dependendo da combinação de vulnerabilidades e das configurações do Tomcat.
Contexto
O Apache Tomcat é um contêiner de servlets Java amplamente utilizado para executar aplicações web baseadas em Java, ele implementa especificações Jakarta/Java EE e é frequentemente exposto em redes internas e públicas como componente principal de infraestruturas web. Pesquisadores apontaram diversas falhas em diferentes componentes do Tomcat, incluindo o conector HTTP, o processamento de requisições multipart/form-data e a lógica de autenticação/validação de headers que, em conjunto ou isoladamente, podem ser aproveitadas para comprometer a confidencialidade e integridade das aplicações hospedadas.
Execução
A exploração dessas falhas ocorre por meio de requisições ao Apache Tomcat [1], aproveitando erros na forma como o servidor valida identidade e aplica regras de acesso. A CVE-2026-55957 [2] é classificada como uma falha de Missing Critical Step in Authentication, ou seja, “falta de uma etapa crítica na autenticação”. Isso significa que o processo de login deixa de executar uma verificação essencial antes de conceder acesso, permitindo que um atacante seja aceito como autenticado mesmo sem apresentar a senha correta.
Essa falha está relacionada ao JNDIRealm, que é um mecanismo do Tomcat usado para integrar a autenticação com fontes externas de identidade, como diretórios LDAP. Em vez de manter usuários internamente, o Tomcat consulta esse repositório para validar credenciais. No cenário descrito, o problema aparece quando o JNDIRealm está configurado para autenticar usando GSSAPI, um protocolo de autenticação usado para validar identidades de forma segura em ambientes corporativos. Por causa da falha, o servidor acaba aceitando a autenticação mesmo com a senha incorreta.
Já a CVE-2026-55956 [3] é uma falha de Improper Authorization, ou seja, “autorização incorreta”. Nesse caso, o Tomcat não aplica como deveria as restrições de segurança definidas para o componente responsável por servir recursos estáticos e tratar requisições padrão. Normalmente, esse servlet deve respeitar regras de acesso configuradas pelo administrador, incluindo quais métodos HTTP são permitidos ou bloqueados. A vulnerabilidade faz com que essas restrições sejam ignoradas, inclusive quando a política define um método específico ou omissões de método, abrindo espaço para acesso indevido.
Na prática, essas duas falhas podem ser combinadas em cenários perigosos: uma permite burlar a autenticação e a outra ignora as restrições de segurança. O resultado é que um atacante pode obter entrada em recursos que deveriam estar protegidos e, a partir disso, avançar para ações não autorizadas dentro da aplicação ou do ambiente hospedado.
Versões afetadas
As vulnerabilidades afetam múltiplas versões do Apache Tomcat, versões específicas dependem das CVEs individuais reportadas, e podem alcançar instalações que utilizam configurações padrão ou bibliotecas auxiliares não atualizadas.
| CVE-2026-55957 | CVE-2026-55956 |
|---|---|
| 11.0.0-M1 até 11.0.4 10.1.0-M1 até 10.1.36 9.0.0.M1 até 9.0.100 8.5.0 até 8.5.100 7.0.0 até 7.0.109 |
11.0.0-M1 até 11.0.22 10.1.0-M1 até 10.1.55 9.0.0.M1 até 9.0.118 8.5.0 até 8.5.100 7.0.0 até 7.0.109 |
Impacto
Se exploradas com sucesso, as falhas podem permitir comprometimento total da aplicação web, execução remota de comandos com os privilégios do processo Tomcat, exfiltração de dados sensíveis armazenados na aplicação e movimento lateral dentro da rede corporativa a partir do host afetado. Em ambientes onde Tomcat executa serviços críticos ou integra-se a back-ends sensíveis, o risco é elevado e exige resposta rápida.
A CVE-2026-55957 tem score CVSS [4] de 7.3 High, refletindo que pode ser explorada remotamente, sem privilégios prévios e sem interação do usuário, enquanto a CVE-2026-55956 aparece com CVSS [5] de 6.5 Medium, indicando impacto importante, mas com severidade menor que a anterior.
Recomendações
A recomendação imediata é aplicar as atualizações disponibilizadas pelo Apache Tomcat na versão correspondente à sua linha de uso e validar se a instância está coberta pelo pacote corrigido do fornecedor da distribuição. Organizações que operam Tomcat exposto à internet devem tratar a situação como potencial incidente, com revisão de logs, caça a indicadores de exploração e verificação de acessos não autorizados a recursos protegidos por autenticação e autorização.
Referências
[1] Multiple Apache Tomcat Vulnerabilities Allow Attackers to Bypass Authentication. Acesso em: 2 jul. 2026.
[2] GitHub Advisory Database CVE-2026-55957. Acesso em: 2 jul. 2026.
[3] GitHub Advisory Database CVE-2026-55956. Acesso em: 2 jul. 2026.
[4] CVE-2026-55957. Acesso em: 2 jul. 2026.
[5] CVE-2026-55956. Acesso em: 2 jul. 2026.