[TLP:CLEAR] Apache Tomcat opravuje 3 zraniteľnosti
Apache verziami 11.0.8, 10.1.42 a 9.0.106 opravuje 3 zraniteľnosti v produkte Apache Tomcat [3][2][1]. Oprava ešte nie je dostupná pre žiadnu zo stabilných vydaní populárnych linuxových distribúcií [4][5][6][7][8][9]. Gentoo má opravené verzie dostupné ako testing [10].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených požiadaviek [1].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0-M1 AND <10.1.41) OR (>=9.0.0.M1 AND <9.0.105).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-48988 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 6. 2025.
Neautentizovanému lokálnemu útočníkovi je umožnené vykonávať ľubovolný kód pomocou side-loading útoku počas inštalácie Apache Tomcat na Windows [2].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0 AND <10.1.41) OR (>=9.0.23 AND <9.0.105).
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-49124 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-426: Untrusted Search Path at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 6. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť bezpečnostné obmedzenie pri pristupovaní k určitým zdrojom pomocou špeciálne vytvoreného odkazu. Zraniteľnosť je možné zneužiť iba ak sú PreResources/PostResources pripojené mimo koreňa webovej aplikácie [3].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0-M1 AND <10.1.41) OR (>=9.0.0.M1 AND <9.0.105).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2025-49125 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 6. 2025.
Odkazy
- [1] https://lists.apache.org/thread/nzkqsok8t42qofgqfmck536mtyzygp18
- [2] https://lists.apache.org/thread/lnow7tt2j6hb9kcpkggx32ht6o90vqzv
- [3] https://lists.apache.org/thread/m66cytbfrty9k7dc4cg6tl1czhsnbywk
- [4] https://security-tracker.debian.org/tracker/CVE-2025-48988
- [5] https://security-tracker.debian.org/tracker/CVE-2025-49125
- [6] https://access.redhat.com/security/cve/cve-2025-48988
- [7] https://access.redhat.com/security/cve/cve-2025-49125
- [8] https://ubuntu.com/security/CVE-2025-48988
- [9] https://ubuntu.com/security/CVE-2025-49125
- [10] https://packages.gentoo.org/packages/www-servers/tomcat
Za CESNET-CERTS Martin Krajči dňa 20. 6. 2025.
