CVE-2026-24733

CVSS

No CVSS.

mproper Input Validation vulnerability in Apache Tomcat. Tomcat did not limit HTTP/0.9 requests to the GET method. If a security constraint was configured to allow HEAD requests to a URI but deny GET requests, the user could bypass that constraint on GET requests by sending a (specification invalid) HEAD request using HTTP/0.9. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.14, from 10.1.0-M1 through 10.1.49, from 9.0.0.M1 through 9.0.112. Older, EOL versions are also affected. Users are recommended to upgrade to version 11.0.15 or later, 10.1.50 or later or 9.0.113 or later, which fixes the issue.

References

Link	Resource
https://lists.apache.org/thread/6xk3t65qpn1myp618krtfotbjn1qt90f

Configurations

No configuration.

History

18 Feb 2026, 17:51

Type	Values Removed	Values Added
Summary		(es) Vulnerabilidad de validación de entrada inadecuada en Apache Tomcat. Tomcat no limitaba las solicitudes HTTP/0.9 al método GET. Si una restricción de seguridad estaba configurada para permitir solicitudes HEAD a una URI pero denegar solicitudes GET, el usuario podía eludir esa restricción en las solicitudes GET enviando una solicitud HEAD (inválida según la especificación) usando HTTP/0.9. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.14, desde 10.1.0-M1 hasta 10.1.49, desde 9.0.0.M1 hasta 9.0.112. Las versiones más antiguas, EOL, también están afectadas. Se recomienda a los usuarios actualizar a la versión 11.0.15 o posterior, 10.1.50 o posterior o 9.0.113 o posterior, lo que soluciona el problema.

17 Feb 2026, 19:21

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-17 19:21

Updated : 2026-02-18 17:51

NVD link : CVE-2026-24733

Mitre link : CVE-2026-24733

CVE.ORG link : CVE-2026-24733

JSON object : View

Products Affected

No product.

CWE

CWE-20

Improper Input Validation

JSON object

Attach tags to CVE-2026-24733

Attach tags to `CVE-2026-24733`