[TLP:CLEAR] Apache Tomcat opravuje 3 zranitelnosti
Apache Tomcat verzemi 11.0.12, 10.1.47 a 9.0.110 opravuje 3 zranitelnosti [1][2][3]. Pro stabilní vydání Debianu byly bezpečnostní opravy vydány pouze v balíčku tomcat9 ve verzi 9.0.107-0+deb11u1 pro bullseye (security) a ve verzi 9.0.70-2 pro bookworm [4][5][6]. Red Hat [7][8][9] ani Ubuntu opravy zatím neposkytly nebo vydání zranitelnostmi postižena nejsou [10][11][12]. Gentoo má pro nejčastější architektury opravené verze k dispozici jako testing [13].
Neautentizovanému vzdálenému útočníkovi je s využitím speciálně vytvořené URL umožněno do logů Tomcatu vložit ANSI escape sekvence manipulující s konzolí a schránkou a přimět tak administrátora k provedení příkazu řízeného útočníkem. Zneužitelnost je potvrzena pouze na strojích s Windows, kde je podpora ANSI escape sekvencí povolena. Nelze však vyloučit možnost podobného zneužití i na jiných operačních systémech [1].
Zranitelnost se nachází v produktu Apache Tomcat ve verzích (>=8.5.60 AND <=8.5.100) OR (>=9.0.40 AND <=9.0.108) OR (>=10.1.0-M1 AND <=10.1.44) OR (>=11.0.0-M1 AND <=11.0.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-55754 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-150: Improper Neutralization of Escape, Meta, or Control Sequences at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 10. 2025.
Autentizovanému vzdálenému útočníkovi je s využitím speciálně vytvořeného URL požadavku za určitých podmínek umožněno obejít bezpečnostní restrikce včetně ochrany pro /WEB-INF/ a /META-INF/ a, jsou-li povoleny požadavky PUT (obvykle omezeno), nahrát škodlivý soubor a spustit kód. Zranitelnost je regresí opravy předchozí chyby (č. 60013) a vede k normalizaci URL před jejím dekódováním [2].
Zranitelnost se nachází v produktu Apache Tomcat ve verzích (>=8.5.60 AND <=8.5.100) OR (>=9.0.0.M11 AND <=9.0.108) OR (>=10.1.0-M1 AND <=10.1.44) OR (>=11.0.0-M1 AND <=11.0.10).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-55752 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-23: Relative Path Traversal at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 10. 2025.
Autentizovanému vzdálenému útočníkovi je za určitých podmínek umožněno vykonat útok DoS [3].
Zranitelnost se nachází v produktu Apache Tomcat ve verzích (>=8.5.0 AND <=8.5.100) OR (>=9.0.0.M1 AND <=9.0.109) OR (>=10.1.0-M1 AND <=10.1.46) OR (>=11.0.0-M1 AND <=11.0.11).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-61795 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-404: Improper Resource Shutdown or Release at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 10. 2025.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-55754
- [2] https://nvd.nist.gov/vuln/detail/CVE-2025-55752
- [3] https://nvd.nist.gov/vuln/detail/CVE-2025-61795
- [4] https://security-tracker.debian.org/tracker/CVE-2025-55754
- [5] https://security-tracker.debian.org/tracker/CVE-2025-55752
- [6] https://security-tracker.debian.org/tracker/CVE-2025-61795
- [7] https://access.redhat.com/security/cve/cve-2025-55754
- [8] https://access.redhat.com/security/cve/cve-2025-55752
- [9] https://access.redhat.com/security/cve/cve-2025-61795
- [10] https://ubuntu.com/security/CVE-2025-55754
- [11] https://ubuntu.com/security/CVE-2025-55752
- [12] https://ubuntu.com/security/CVE-2025-61795
- [13] https://packages.gentoo.org/packages/www-servers/tomcat
Za CESNET-CERTS Michaela Ručková dne 30. 10. 2025.
