CVE‑2026‑34486 — критическая уязвимость удалённого выполнения кода в модуле Apache Tomcat Tribes, возникшая как регрессия после исправления CVE‑2026‑29146. Ошибка в классе EncryptInterceptor приводит к десериализации полученного сообщения без проверки, поэтому злоумышленник может захватить сервер одним простым запросом. В отличие от предыдущей уязвимости, для эксплуатации новой требуется лишь отправить «сырой» запрос, без перехвата зашифрованных пакетов. Apache отмечает, что уязвимость затрагивает кластеры Tomcat, использующие Tribes для обмена сообщениями между серверами.
