[TLP:CLEAR] Apache Tomcat opravuje 3 zraniteľnosti

Apache verziami 11.0.8, 10.1.42 a 9.0.106 opravuje 3 zraniteľnosti v produkte Apache Tomcat [3][2][1]. Oprava ešte nie je dostupná pre žiadnu zo stabilných vydaní populárnych linuxových distribúcií [4][5][6][7][8][9]. Gentoo má opravené verzie dostupné ako testing [10].

Apache Tomcat - DoS (CVE-2025-48988) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených požiadaviek [1].

Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0-M1 AND <10.1.41) OR (>=9.0.0.M1 AND <9.0.105).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 16. 6. 2025.

Apache Tomcat - side-loading (CVE-2025-49124) CVSS 8.4 (High)

Neautentizovanému lokálnemu útočníkovi je umožnené vykonávať ľubovolný kód pomocou side-loading útoku počas inštalácie Apache Tomcat na Windows [2].

Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0 AND <10.1.41) OR (>=9.0.23 AND <9.0.105).

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 16. 6. 2025.

Apache Tomcat - security constraint bypass (CVE-2025-49125) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené obísť bezpečnostné obmedzenie pri pristupovaní k určitým zdrojom pomocou špeciálne vytvoreného odkazu. Zraniteľnosť je možné zneužiť iba ak sú PreResources/PostResources pripojené mimo koreňa webovej aplikácie [3].

Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0-M1 AND <10.1.41) OR (>=9.0.0.M1 AND <9.0.105).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 16. 6. 2025.


Za CESNET-CERTS Martin Krajči dňa 20. 6. 2025.

CESNET CERTS Logo