개요.
Apache Tomcat에서 다수의 보안 취약점을 해결하는 보안 업데이트가 발표되었다.
영향을 받는 버전은 Tomcat 9.0.0.M1–9.0.116, 10.0.0-M1–10.1.53, 11.0.0-M1–11.0.20이다.
권고된 패치 버전으로는 9.0.117, 9.0.116, 11.0.21, 11.0.20, 10.1.54, 10.1.53 등이 포함된다.
주요 취약점 요약.
CVE-2026-24880은 HTTP 요청 스머글링 취약점으로 요청 분리 및 프록시 상호작용에 영향을 줄 수 있다.
CVE-2026-29145 및 CVE-2026-34500은 OCSP 검사에서 soft-fail 비활성화 상태에서도 간헐적으로 soft-fail로 처리될 수 있는 문제로 인증서 상태 검증 신뢰성에 영향을 줄 수 있다.
CVE-2026-34487은 클러스터링용 Cloud membership 컴포넌트에서 Kubernetes bearer token이 노출될 수 있는 문제이다.
CVE-2026-25854는 조작된 URL로 인해 간헐적으로 오픈 리다이렉트가 발생할 수 있는 문제이다.
CVE-2026-34483은 JSON 액세스 로그의 이스케이프 처리 불완전 문제와 관련된 취약점이다.
CVE-2026-29129는 설정된 TLS 암호 스위트 우선순위가 유지되지 않는 문제이다.
CVE-2026-29146은 EncryptInterceptor의 기본 설정에서 패딩 오라클 공격에 취약한 문제이다.
CVE-2026-34486 및 CVE-2026-32990은 이전 수정의 불완전성으로 인해 발생한 추가 취약점이다.
영향 및 권고.
이번 취약점은 인증서 검증 우회, 토큰 노출, 요청 경로 조작, 로그 위변조, 암호화 관련 정보 유출 등 보안 사고로 이어질 위험이 있다.
영향을 받는 시스템은 권고된 최신 Tomcat 릴리스로 갱신해야 한다.
추가 정보와 원문 보안 권고는 Apache Tomcat 보안 페이지 및 각 CVE 참조 문서를 통해 확인할 수 있다.