Multiples vulnérabilités affectant Apache Tomcat

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/036

Date de l’alerte : 02/05/2025

APERÇU :

De multiples vulnérabilités découvertes dans Apache Tomcat, permettraient à un acteur malveillant de contourner les mesures de sécurités et de provoquer un déni de service.

DESCRIPTION :

Apache Tomcat est un serveur web open source qui permet de déployer et de gérer des applications web dynamiques basées sur Java.

Ce logiciel est affecté par plusieurs vulnérabilités libellées comme suit :

CVE-2025-31650 : Elle résulte d’une erreur de validation dans la gestion des en-têtes HTTP de Apache Tomcat. Lorsqu’une requête malformée est traitée, l’application ne libère pas la mémoire utilisée.

L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de provoquer un déni de service en envoyant plusieurs requêtes malformées au serveur.

Cette vulnérabilité est classée medium avec un score de sévérité de 6.7 selon le score CVSS v3.1.

CVE-2025-31651 : Elle résulte d’un mauvais traitement des caractères spéciaux dans certaines configurations des règles de réécriture (rewrite rules) d’Apache Tomcat. Ces règles permettent de modifier les URL des requêtes HTTP avant leur traitement.

L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de contourner les mesures de sécurité définies par ces règles.

Cette vulnérabilité est classée medium avec un score de sévérité de 6.4 selon le score CVSS v3.1.

IMPACT :

  • Atteinte à la disponibilité ;
  • Contournement des mesures de sécurité.

 SYSTÈMES AFFECTÉS : 

  • Apache Tomcat version 9.0.76 à 9.0.102 ;
  • Apache Tomcat version 10.1.10 à 10.1.39 ;
  • Apache Tomcat version 11.0.0-M2 à 11.0.5 ;
  • Apache Tomcat version 9.0.0.M1 à 9.0.102 ;
  • Apache Tomcat version 10.1.0-M1 à 10.1.39.

MESURES À PRENDRE :

  • Appliquer les correctifs de sécurité disponible sur le site de l’éditeur.

RÉFÉRENCES :

Partagez sur vos réseaux.