PT-2025-23194 · Apache+8 · Apache Tomcat+8

Greg K

·

Publicado

2025-05-12

·

Atualizado

2026-06-02

·

CVE-2025-46701

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas Versões do Apache Tomcat 11.0.0-M1 até 11.0.6 Versões do Apache Tomcat 10.1.0-M1 até 10.1.40 Versões do Apache Tomcat 9.0.0.M1 até 9.0.104
Descrição O problema está relacionado ao tratamento inadequado da sensibilidade a maiúsculas e minúsculas na servlet CGI do Apache Tomcat, permitindo o bypass das restrições de segurança que se aplicam ao componente pathInfo de um URI mapeado para a servlet CGI.
Recomendações Para as versões do Apache Tomcat 11.0.0-M1 até 11.0.6, atualize para a versão 11.0.7. Para as versões do Apache Tomcat 10.1.0-M1 até 10.1.40, atualize para a versão 10.1.41. Para as versões do Apache Tomcat 9.0.0.M1 até 9.0.104, atualize para a versão 9.0.105.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-178

Identificadores relacionados

ALT-PU-2025-13307
ALT-PU-2025-8715
BDU:2025-09498
BIT-TOMCAT-2025-46701
CVE-2025-46701
DLA-4244-1
GHSA-H2FW-RFH5-95R3
MGASA-2025-0177
OESA-2025-1641
OPENSUSE-SU-2025:15301-1
OPENSUSE-SU-2025:15302-1
OPENSUSE-SU-2025:15303-1
RHSA-2026:18536
RHSA-2026:18537
RHSA-2026:18916
RHSA-2026:2740
SUSE-SU-2025:02214-1
SUSE-SU-2025:02261-1
SUSE-SU-2025:02280-1
SUSE-SU-2025_02214-1
SUSE-SU-2025_02261-1
SUSE-SU-2025_02280-1
SUSE-SU-2026:1058-1
USN-7705-1

Produtos afetados

Alt Linux
Apache Tomcat
Astra Linux
Bitbucket
Debian
Linuxmint
Red Os
Suse
Ubuntu