[TLP:CLEAR] Apache Tomcat opravuje 3 zraniteľnosti
Apache verziami 11.0.8, 10.1.42 a 9.0.106 opravuje 3 zraniteľnosti v produkte Apache Tomcat [2][1][3]. Oprava ešte nie je dostupná pre žiadnu zo stabilných vydaní najčastejšie používaných linuxových distribúcií
Neautentizovanému lokálnemu útočníkovi je umožnené vykonávať ľubovolný kód pomocou side-loading útoku počas inštalácie Apache Tomcat na Windows [1].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0 AND <10.1.41) OR (>=9.0.23 AND <9.0.105).
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-49124 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-426: Untrusted Search Path at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 6. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť bezpečnostné obmedzenie pri pristupovaní k určitým zdrojom pomocou špeciálne vytvoreného odkazu. Zraniteľnosť je možné zneužiť iba ak sú PreResources/PostResources pripojené mimo koreňa webovej aplikácie [2].
Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.7) OR (>=10.1.0-M1 AND <10.1.41) OR (>=9.0.0.M1 AND <9.0.105).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2025-49125 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 16. 6. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 20. 6. 2025.
