← Voltar ao blog

Quatro Vulnerabilidades Críticas do Tomcat Expõem Riscos de DoS, RCE e Bypass de Autenticação

O aviso de segurança Ubuntu USN-8450-1 aborda quatro vulnerabilidades no Apache Tomcat afetando consumo de memória, validação HTTP/2, exposição de credenciais e aplicação de autorização. Organizações executando Tomcat devem priorizar patches para mitigar ameaças de negação de serviço, execução remota de código e bypass de controle de acesso.

TL;DR

  • CVE-2026-41284: Corpos de requisição WebDAV ilimitados habilitam ataques DoS de esgotamento de memória
  • CVE-2026-41293: Falha de validação de header HTTP/2 permite crashes e potencial execução arbitrária de código
  • CVE-2026-42498: Headers de autenticação vazam durante upgrades WebSocket e redirecionamentos
  • CVE-2026-43515: Múltiplas restrições de método permitem bypass de autorização para recursos protegidos

Usuários do Apache Tomcat enfrentam uma janela crítica de segurança com o lançamento do aviso de segurança Ubuntu USN-8450-1, que documenta quatro vulnerabilidades distintas abrangendo vetores de negação de serviço, execução remota de código, divulgação de informações e bypass de controle de acesso. Essas falhas afetam funcionalidades principais do Tomcat incluindo manipulação de requisições WebDAV, processamento do protocolo HTTP/2, gerenciamento de conexões WebSocket e avaliação de restrições de autorização.

As vulnerabilidades variam de impacto moderado a severo. Ataques de esgotamento de memória via requisições WebDAV oversized podem degradar a disponibilidade, enquanto falhas de validação de headers HTTP/2 criam caminhos para execução remota de código. Vazamento de credenciais durante transições de protocolo e lacunas na lógica de autorização expandem ainda mais a superfície de ataque para implantações comprometidas.

Negação de Serviço e Esgotamento de Recursos

  • CVE-2026-41284 explora limites de tamanho de corpo de requisição ausentes em operações WebDAV LOCK e PROPFIND
  • Atacantes podem criar payloads oversized para disparar alocação de memória ilimitada em processos Tomcat
  • Ataques sustentados levam à indisponibilidade de serviço e possíveis falhas em cascata em aplicações dependentes

Execução Remota de Código via Falha do Protocolo HTTP/2

  • CVE-2026-41293 decorre de validação inadequada de campos de header HTTP/2 durante análise de requisição
  • Headers malformados podem disparar crashes ou corromper o estado de execução do Tomcat, permitindo injeção de código
  • Este vetor é particularmente perigoso em ambientes com balanceamento de carga onde processos Tomcat lidam com tráfego externo não confiável

Exposição de Credenciais de Autenticação

  • CVE-2026-42498 afeta manipulação de headers de autenticação HTTP durante upgrades de protocolo WebSocket e redirecionamentos HTTP
  • Credenciais permanecem em headers de requisição e se propagam para sistemas downstream ou são expostas em logs
  • Atacantes interceptando ou registrando essas transições podem coletar tokens de sessão e material de autenticação

Bypass de Autorização Através de Lógica de Restrição

  • CVE-2026-43515 ocorre quando múltiplas restrições de método definem regras de método HTTP sobrepostas (GET, POST, etc.)
  • A avaliação de autorização do Tomcat falha em aplicar adequadamente todas as restrições aplicáveis, permitindo acesso não autorizado
  • Recursos protegidos se tornam acessíveis a usuários não autenticados ou com privilégios insuficientes dependendo da configuração de restrição

Remediação e Avaliação de Risco

  • Aplique patches de segurança Ubuntu imediatamente; verifique a versão do Tomcat contra o aviso USN-8450-1
  • Audite configurações WebDAV e desabilite se não for necessário; implemente limites de tamanho de requisição na camada de proxy reverso
  • Revise uso de HTTP/2 e WebSocket; considere desabilitar até que patches sejam implantados
  • Rotacione credenciais e audite logs de acesso para evidência de exploração
  • Teste restrições de autorização pós-patch para confirmar aplicação adequada de controles de acesso em nível de método

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Quatro Vulnerabilidades Críticas do Tomcat Expõem Riscos de DoS, RCE e Bypass de Autenticação — Agent Breach Blog | Agent Breach