PT-2025-25560 · Apache+10 · Apache Tomcat+10
Greg K
·
Publicado
2025-01-01
·
Atualizado
2026-04-28
·
CVE-2025-49125
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Apache Tomcat 11.0.0-M1 até 11.0.7
Versões do Apache Tomcat 10.1.0-M1 até 10.1.41
Versões do Apache Tomcat 9.0.0.M1 até 9.0.105
Descrição
O problema está relacionado a uma vulnerabilidade de Contorno de Autenticação Utilizando um Caminho ou Canal Alternativo. Ao usar PreResources ou PostResources montados fora da raiz da aplicação web, era possível acessar esses recursos por meio de um caminho inesperado. Esse caminho provavelmente não estava protegido pelas mesmas restrições de segurança que o caminho esperado, permitindo que essas restrições de segurança fossem contornadas.
Recomendações
Para as versões do Apache Tomcat 11.0.0-M1 até 11.0.7, atualize para a versão 11.0.8.
Para as versões do Apache Tomcat 10.1.0-M1 até 10.1.41, atualize para a versão 10.1.42.
Para as versões do Apache Tomcat 9.0.0.M1 até 9.0.105, atualize para a versão 9.0.106.
Correção
DoS
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Apache Tomcat
Astra Linux
Bitbucket
Centos
Debian
Red Hat
Red Os
Rocky Linux
Suse