CVE-2025-24813

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Tomcat 9.0.0.M1 até 9.0.98 Versões do Apache Tomcat 10.1.0-M1 até 10.1.34 Versões do Apache Tomcat 11.0.0-M1 até 11.0.2

Descrição O problema afeta o Apache Tomcat devido a uma vulnerabilidade de equivalência de caminho, permitindo execução remota de código e/ou divulgação de informações e/ou adição de conteúdo malicioso a arquivos enviados via servlet padrão habilitado para escrita. Um usuário malicioso pode visualizar arquivos sensíveis à segurança e/ou injetar conteúdo nesses arquivos se determinadas condições forem atendidas, incluindo escrita habilitada para o servlet padrão, suporte para PUT parcial e conhecimento específico de nomes de arquivos sensíveis à segurança. Além disso, a execução remota de código é possível sob condições específicas, incluindo o uso da persistência de sessão baseada em arquivos do Tomcat e a presença de uma biblioteca que pode ser aproveitada em um ataque de desserialização. Estima-se que mais de 10,7 milhões de serviços sejam potencialmente afetados.

Recomendações Para resolver o problema, atualize para a versão 11.0.3, 10.1.35 ou 9.0.98, que corrige o problema. Como solução temporária, considere desabilitar o servlet padrão habilitado para escrita até que um patch esteja disponível. Restrinja o acesso a arquivos e diretórios sensíveis à segurança para minimizar o risco de exploração. Evite usar solicitações PUT parciais até que o problema seja resolvido.