CVE-2021-25122

**Nome do software vulnerável e versões afetadas:

Versões do Apache Tomcat de 8.5.0 a 8.5.61

Versões do Apache Tomcat de 9.0.0.M1 a 9.0.41

Versões do Apache Tomcat de 10.0.0-M1 a 10.0.0

Descrição:

O problema está relacionado à implementação do protocolo HTTP/2 no Apache Tomcat, o que pode levar a uma falta de proteção dos dados do serviço. Ao responder a novas solicitações de conexão h2c, o Apache Tomcat pode duplicar cabeçalhos de solicitação e uma quantidade limitada do corpo da solicitação de uma solicitação para outra. Isso significa que o usuário A e o usuário B podem ver os resultados da solicitação do usuário A, afetando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas.

Recomendações:

Para as versões 8.5.0 a 8.5.61 do Apache Tomcat, atualize para uma versão que inclua a correção para este problema.

Para as versões 9.0.0.M1 a 9.0.41 do Apache Tomcat, atualize para uma versão que inclua a correção para este problema.

Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.0, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso a dados confidenciais e limitar a quantidade de dados do corpo da solicitação processados pelo servidor.