Lỗ hổng nghiêm trọng Apache Tomcat: Nguy cơ xâm nhập mạng

Lỗ hổng nghiêm trọng Apache Tomcat: Nguy cơ xâm nhập mạng

Tập đoàn Apache Software Foundation (ASF) vừa công bố hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Apache Tomcat, một thành phần máy chủ web phổ biến. Các lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế xác thực và các ràng buộc bảo mật, xâm nhập vào các ứng dụng web được bảo vệ.

Chi tiết các lỗ hổng CVE

CVE-2026-55957: Lỗ hổng nghiêm trọng về Bỏ qua Ràng buộc Bảo mật

Lỗ hổng này, được định danh là CVE-2026-55957, được xếp loại có mức độ nghiêm trọng Important. Nó ảnh hưởng đến thành phần JNDIRealm của Tomcat khi được cấu hình với GSSAPI authenticated bind. Nguyên nhân gốc rễ của vấn đề nằm ở việc thực thi không đúng các ràng buộc bảo mật trên default servlet. Các phương thức HTTP được cấu hình hoặc bỏ qua trong các quy tắc truy cập đã bị bỏ qua một cách thầm lặng.

Hành vi này cho phép kẻ tấn công vượt qua các hạn chế truy cập đã định, tiếp cận các tài nguyên được bảo vệ mà không cần xác thực đầy đủ. Đây là một mối đe dọa mạng đáng kể đối với các hệ thống sử dụng cấu hình này.

Các phiên bản bị ảnh hưởng:

  • Apache Tomcat 11.0.x trước 11.0.5
  • Apache Tomcat 10.1.x trước 10.1.37
  • Apache Tomcat 9.0.x trước 9.0.101

Khuyến nghị: Nâng cấp lên phiên bản Tomcat 11.0.5, 10.1.37, hoặc 9.0.101 trở lên.

CVE-2026-5596: Lỗ hổng Rủi ro về Thực thi Phương thức Không đúng

Lỗ hổng thứ hai, được theo dõi với mã định danh CVE-2026-5596, có mức độ nghiêm trọng Moderate. Nó chia sẻ cùng nguyên nhân gốc rễ với CVE-2026-55957, đó là các ràng buộc bảo mật được định nghĩa cho default servlet đã thất bại trong việc thực thi đúng các phương thức HTTP được cấu hình hoặc bỏ qua. Mặc dù ít nghiêm trọng hơn CVE-2026-55957, lỗ hổng này ảnh hưởng đến phạm vi phiên bản Tomcat rộng hơn, cho thấy khuyết điểm này đã tồn tại qua nhiều chu kỳ phát hành trước khi được phát hiện.

Các phiên bản bị ảnh hưởng:

  • Apache Tomcat 11.0.x trước 11.0.23
  • Apache Tomcat 10.1.x trước 10.1.56
  • Apache Tomcat 9.0.x trước 9.0.119

Khuyến nghị: Nâng cấp lên phiên bản Tomcat 11.0.23, 10.1.56, hoặc 9.0.119 trở lên.

Cơ chế hoạt động của các lỗ hổng

Cả hai lỗ hổng đều xoay quanh cách Apache Tomcat xử lý các định nghĩa <security-constraint> áp dụng cho default servlet. Khi quản trị viên giới hạn quyền truy cập vào các phương thức HTTP cụ thể (ví dụ: hạn chế PUT hoặc DELETE trong khi cho phép GET), logic khớp yêu cầu của Tomcat đã không tôn trọng các hạn chế ở cấp độ phương thức một cách nhất quán. Điều này tạo ra con đường cho phép truy cập trái phép vào các tài nguyên nhạy cảm hoặc các chức năng quản trị.

Trong thực tế, điều này có nghĩa là các điểm cuối (endpoint) được cho là bảo vệ bởi các quy tắc dựa trên phương thức HTTP vẫn có thể truy cập được thông qua các động từ không bị hạn chế, dẫn đến khả năng xâm nhập mạng hoặc chiếm đoạt quyền kiểm soát.

Khuyến nghị và Biện pháp Phòng ngừa

Các tổ chức đang vận hành các phiên bản Tomcat bị ảnh hưởng nên ưu tiên việc áp dụng cập nhật bản vá. Việc này đặc biệt quan trọng đối với các hệ thống mà default servlet xử lý nội dung nhạy cảm hoặc khi sử dụng JNDIRealm với GSSAPI bind cho xác thực dựa trên LDAP.

Tập đoàn Apache Software Foundation không đưa ra giải pháp thay thế nào khác ngoài việc nâng cấp. Do đó, việc áp dụng các bản phát hành đã vá là biện pháp giảm thiểu duy nhất và đáng tin cậy. Quản trị viên cũng nên kiểm tra các ràng buộc bảo mật web.xml hiện có sau khi nâng cấp để xác nhận rằng các cơ chế kiểm soát truy cập mong muốn đang hoạt động như dự kiến.

Để theo dõi các tin tức bảo mật mới nhất và các phân tích về lỗ hổng, độc giả có thể tham khảo các nguồn uy tín như National Vulnerability Database (NVD).