[TLP:CLEAR] Apache Tomcat opravuje 2 zranitelnosti
Apache Software Foundation verzemi 11.0.6, 10.1.40 a 9.0.104 opravuje 2 zranitelnosti v produktu Apache Tomcat [1][2].
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému ošetření chyb při zpracování neplatných HTTP prioritních hlaviček umožněno způsobit únik paměti, což může při větším množství chybných požadavků vést k vyčerpání paměti a DoS útoku [1].
Zranitelnost se nachází v produktu Apache Tomcat ve verzích (>=11.0.0-M2 AND <=11.0.5) OR (>=10.1.10 AND <=10.1.39) OR (>=9.0.76 AND <=9.0.102).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-31650 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 4. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě v přepisovacích pravidlech umožněno obejít bezpečnostní omezení v určitých konfiguracích [2].
Zranitelnost se nachází v produktu Apache Tomcat ve verzích (>=11.0.0-M2 AND <=11.0.5) OR (>=10.1.10 AND <=10.1.39) OR (>=9.0.76 AND <=9.0.102).
Více informací:
- CVE-2025-31651 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-150: Improper Neutralization of Escape, Meta, or Control Sequences at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 4. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 29. 4. 2025.
