Origine : bjCSIRT
Numéro : 2025/ALERTE/066
Date de l’alerte : 23/10/2025
APERÇU :
Une vulnérabilité critique affectant Apache Tomcat, permettrait à un acteur malveillant d’exécuter du code à distance dans les systèmes affectés.
DESCRIPTION :
Apache Tomcat est un serveur web open source permettant de déployer et de gérer des applications web dynamiques basées sur Java.
Ce logiciel est affecté par une vulnérabilité critique libellée CVE-2025-24813 qui permettrait à un acteur malveillant d’exécuter du code arbitraire à distance sur les systèmes affectés. Elle résulte d’une mauvaise gestion des requêtes HTTP de type PUT et d’un traitement non sécurisé des données de session. En exploitant cette faille, un acteur malveillant non authentifié pourrait téléverser un fichier de session malveillant sur le système affecté, conduisant à une exécution de code arbitraire à distance.
Cette vulnérabilité est classée élevée avec un score de sévérité de 9.1 selon le CVSS V3.1.
IMPACT :
- Exécution de code à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
- La version 11.0.0-M1 de Tomcat et les versions antérieures à 11.0.3 ;
- La version 10.1.0-M1 de Tomcat et les versions antérieures à 10.1.35 ;
- La version 9.0.0-M1 de Tomcat et les versions antérieures à 9.0.99.
MESURES À PRENDRE :
Mettre à jour Apache Tomcat vers les versions 9.0.99, 10.1.35, 11.0.3 ou versions ultérieures.
RÉFÉRENCES :
