Multiples vulnérabilités dans Apache Tomcat : le CERT-FR…

Apache Tomcat : le CERT-FR alerte sur de multiples vulnérabilités, dont une faille XSS

L'agence nationale de la sécurité des systèmes d'information a émis un avis le 30 juin 2026 concernant plusieurs failles affectant les versions 9, 10 et 11 du serveur d'applications Java. Parmi les risques, une injection de code indirecte à distance et un contournement de la politique de sécurité.

Publié le 30 juin 2026 à 14h52 · 2 min de lecture

Le service gouvernemental français chargé de la cybersécurité a publié un avis le 30 juin 2026 signalant de multiples vulnérabilités au sein du serveur d'applications Apache Tomcat. L'avis, référencé CERTFR-2026-AVI-0817, fait état de plusieurs failles dont l'exploitation pourrait permettre à un attaquant de compromettre les systèmes concernés.

Versions concernées

Les correctifs s'appliquent à trois branches principales du logiciel. Sont affectées les versions 9.0.x antérieures à la version 9.0.119, les versions 10.1.x antérieures à la version 10.1.56, ainsi que les versions 11.0.x antérieures à la version 11.0.23. Les éditeurs ont diffusé les mises à jour recommandées dès le 22 et le 23 juin 2026.

Risques identifiés

Les analystes ont relevé trois catégories de risques. Une vulnérabilité de type « cross-site scripting » (XSS) permet une injection de code indirecte à distance, exposant les utilisateurs à des détournements de session ou au vol de données. Une autre faille autorise un contournement de la politique de sécurité, ce qui pourrait permettre à un attaquant d'outrepasser des restrictions d'accès. Enfin, un problème de sécurité non spécifié par l'éditeur a été mentionné sans détail supplémentaire.

Liste des vulnérabilités

Six identifiants CVE ont été attribués à ces failles : CVE-2026-50229, CVE-2026-53404, CVE-2026-53434, CVE-2026-55276, CVE-2026-55955 et CVE-2026-55956. Les détails techniques précis de chaque vulnérabilité sont accessibles dans les bulletins officiels de la fondation Apache, auxquels renvoie l'avis du CERT-FR.

Mesures recommandées

Les administrateurs systèmes sont invités à appliquer sans délai les correctifs fournis par l'éditeur. Les mises à jour vers Apache Tomcat 9.0.119, 10.1.56 ou 11.0.23 permettent de neutraliser l'ensemble des vulnérabilités recensées. Aucune solution de contournement n'a été communiquée pour les versions antérieures.

Contexte

Apache Tomcat est un serveur d'applications Java largement déployé dans les environnements d'entreprise. La découverte de telles failles souligne l'importance d'une veille continue et d'une politique de mise à jour rigoureuse pour limiter les risques d'intrusion.

Apache Tomcat : le CERT-FR alerte sur de multiples vulnérabilités, dont une faille XSS

Évolution du sujet

À lire ensuite

Apple travaillerait sur un iRing, une bague connectée pour concurrencer Samsung et Oura

Données de recherche et Android : Google alerte sur les risques de piratage si l'UE impose l'ouverture à ses c...

BMW lancera la production d'un nouveau SUV électrique en Caroline du Sud d'ici fin 2026

La sorbetière Ninja Creami Scoop & Swirl se négocie sous les 280 euros chez Boulanger