Apache Tomcat : CERT-FR AVI-0817 relaie quatre CVE, dont un contournement de contraintes de sécurité
Le CERT-FR relaie le lot Tomcat du 29 juin 2026 : quatre CVE dont CVE-2026-55956 (contournement des contraintes de sécurité, servlet par défaut). Correctifs en 9.0.119, 10.1.56, 11.0.23.
Le CERT-FR a publié le 30 juin 2026 l'avis CERTFR-2026-AVI-0817 reprenant le lot de vulnérabilités Apache Tomcat disclosé publiquement par la fondation le 29 juin 2026. L'avis retient quatre CVE — CVE-2026-53434, CVE-2026-55276, CVE-2026-55955, CVE-2026-55956 — et trois effets combinés : injection de code indirecte à distance (XSS), contournement de la politique de sécurité et problème de sécurité non spécifié. Aucune exploitation active mentionnée.
Périmètre concerné
Selon la page de vulnérabilités Tomcat 11, Tomcat 10 et Tomcat 9 publiées par la fondation :
- Tomcat 11.0.x : versions 11.0.0-M1 à 11.0.22 vulnérables. Correctif 11.0.23.
- Tomcat 10.1.x : versions 10.1.0-M1 à 10.1.55 vulnérables. Correctif 10.1.56.
- Tomcat 9.0.x : versions 9.0.0.M1 à 9.0.118 vulnérables. Correctif 9.0.119.
- Tomcat 8.5.x (fin de vie mais encore en production dans beaucoup de parcs) : couvert par CVE-2026-55956 selon la fondation, versions 8.5.0 à 8.5.100. Pas de correctif officiel pour cette branche — la fondation renvoie sur la migration vers 9.0 ou supérieur.
Le CERT-FR ne mentionne pas la branche 8.5. C'est un angle mort de l'avis pour les opérateurs qui traînent encore du Tomcat 8 dans une pile Java legacy.
Ce que fait chaque CVE
La fondation Apache publie le détail par CVE sur les pages security-N.html. Résumé :
| CVE | Sévérité upstream | Effet | Composant |
|---|---|---|---|
| CVE-2026-55956 | Moderate | Contournement de contraintes de sécurité | Default servlet |
| CVE-2026-53434 | Low | CRL invalide silencieusement ignorée | Connecteur FFM |
| CVE-2026-55276 | Low | web.xml effective incomplet dans les journaux | Logs de configuration |
| CVE-2026-55955 | Low | EncryptInterceptor sans protection anti-rejeu | Réplication de cluster |
CVE-2026-55956 est le point saillant du lot. Quand une contrainte de sécurité (<security-constraint> dans web.xml) porte sur des méthodes HTTP précises pour le servlet par défaut, Tomcat ignorait la restriction de méthode. Concrètement : une règle qui restreint PUT ou DELETE sur des ressources statiques ne s'applique pas comme configurée. Un opérateur qui pense avoir bloqué les verbes d'écriture par contrainte au niveau du servlet par défaut se trompe — l'endpoint reste accessible via un verbe non prévu. Sur une console d'administration Tomcat exposée, ou sur une application qui délègue la protection de ressources statiques à ce mécanisme, la conséquence est un accès non autorisé.
CVE-2026-53434 touche la validation de CRL dans le connecteur FFM (Foreign Function & Memory API, Java 22+). Si le connecteur FFM est configuré avec une CRL invalide, Tomcat ignore la CRL au lieu de rejeter la configuration — un certificat révoqué peut alors être accepté. Impact réel limité aux déploiements qui utilisent le connecteur FFM avec révocation active.
CVE-2026-55276 et CVE-2026-55955 sont classées Low. La première est un défaut de complétude dans le rendu du web.xml effectif journalisé ; utile pour un auditeur, sans impact direct sur la surface d'attaque. La seconde est une régression de documentation : EncryptInterceptor était censé protéger contre les rejeux dans la réplication de cluster, ce qu'il ne faisait pas — un attaquant capable d'écouter le canal de réplication pouvait rejouer des paquets pour perturber l'état de session partagé.
Statut de l'exploitation
Aucune exploitation active mentionnée par la fondation ni par le CERT-FR à la publication. Aucun PoC public référencé au 2 juillet. La classification CVSS de CVE-2026-55956 (Moderate côté fondation) ne permet pas d'exclure une exploitation opportuniste — la contrainte contournée est une primitive de contrôle d'accès, et la reproduction demande une configuration <security-constraint> avec http-method sur le servlet par défaut. La surface est donc conditionnelle mais pas résiduelle : sur les applications qui exposent des ressources statiques via des restrictions méthode, la fenêtre est ouverte.
Que faire
- Planifier la mise à jour vers 11.0.23, 10.1.56 ou 9.0.119 selon la branche déployée. Les releases sont disponibles sur la page téléchargements de la fondation. Le cycle de patch Tomcat est standard : pas de contournement runtime pour CVE-2026-55956, il faut la version.
- Auditer les
<security-constraint>avec<http-method>sur le servlet par défaut. Sur les serveurs qui n'ont pas encore basculé, tester si la contrainte méthode est effectivement appliquée en lançant les verbes bloqués contre les ressources statiques concernées. Une contrainte défaillante non détectée peut cacher un accès autorisé depuis des mois. - Traiter les instances Tomcat 8.5 comme non corrigibles. La branche est en fin de vie. Pour les opérateurs qui n'ont pas encore migré, la trajectoire est 9.0.119 minimum, ou reclassification du serveur en zone isolée avec proxy applicatif devant. Pas d'espoir de rétroportage pour cette branche.
- Vérifier la configuration FFM si le connecteur Foreign Function & Memory est activé (Java 22+, cas peu fréquent en production mais présent en test). Sur les instances concernées, tester le comportement CRL après montée de version — l'avis ne mentionne pas de nouvelle syntaxe de configuration mais la sémantique change (une CRL invalide devient bloquante).
- Bloquer l'exposition externe des consoles d'administration Tomcat. Le Manager App et l'Host Manager ne devraient jamais être joignables depuis internet. CVE-2026-55956 est un rappel que les mécanismes de contrainte native ne suffisent pas — le contrôle réseau (VLAN d'administration, pare-feu,
RemoteAddrValve) reste la ligne de défense de référence.
Contexte
C'est le troisième lot Tomcat relayé par le CERT-FR en 2026. Le CERTFR-2026-AVI-0181 portait sur une vulnérabilité isolée en février, puis d'autres avis ont ponctué le printemps. Le rythme est celui d'un projet actif avec une politique de divulgation coordonnée : la fondation groupe les rapports privés et publie par lot toutes les six à huit semaines. Pour un opérateur, la cadence d'intégration doit s'aligner sur ce rythme éditeur, pas sur les Patch Tuesday tiers.
Cette vague est intéressante par ce qu'elle ne contient pas : la vulnérabilité la plus grave discutée dans l'écosystème Tomcat en juin — CVE-2026-55957, contournement d'authentification dans JNDIRealm — a été corrigée dans des versions antérieures (9.0.101, 10.1.37, 11.0.5) et n'apparaît pas dans l'AVI-0817. Les opérateurs qui pensent avoir "fait le lot Tomcat de juin" en montant en 11.0.23 doivent vérifier qu'ils ne partaient pas de plus ancien qu'une version où CVE-2026-55957 est déjà corrigée. Un rattrapage n'annule pas les avis passés.