Apache Tomcat - HTTP/2 request headers not validated — CVE-2026-41293

GitHub · GitHub · CVE-2026-41293

ID
CVE-2026-41293

Date
2026-05-12

Mis à jour
2026-05-18

Activity
2026-05-18

Source
GitHub

Fournisseur
GitHub

Risque
critical

CVSS
9.8

EPSS
0.00253

Résumé

Versions Affected: Apache Tomcat 11.0.0-M1 to 11.0.21 Apache Tomcat 10.1.0-M1 to 10.1.54 Apache Tomcat 9.0.0.M1 to 9.0.117 Older, unsupported versions may also be affected Description: HTTP/2 request headers were not validated which may have triggered unexpected application behaviour if the application (quite reasonably) assumed that header value exposed through the Servlet API would be specification compliant.…

Produit

maven: org.apache.tomcat.embed:tomcat-embed-core | maven: org.apache.tomcat:tomcat | maven: org.apache.tomcat:tomcat-catalina

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21

Apache Tomcat - HTTP/2 request headers not validated — CVE-2026-41293

Résumé

Produit

Que faire

Avis officiel

Avis associés

Pheditor: OS Command Injection in terminal handler via unsanitized 'dir' parameter

Dex: Token-exchange endpoint is missing AllowedConnectors enforcement

ethyca-fides has a DOM-based XSS vulnerability in fides.js via fides_description override

Malicious code in guardrails-ai 0.10.1 (supply chain compromise)

Mobile Verification Toolkit (MVT): Path Traversal via unsanitized File identifiers in iOS Backup processing

OpenMetadata: TEST_CONNECTION workflow leaks ingestion-bot JWT and database password to regular users