CVE-2025-55752

Nome do Software Vulnerável e Versões Afetadas Apache Tomcat versões 11.0.0-M1 até 11.0.10 Apache Tomcat versões 10.1.0-M1 até 10.1.44 Apache Tomcat versões 9.0.0.M11 até 9.0.108 Apache Tomcat versões 8.5.6 até 8.5.100

Descrição Existe uma falha de traversão de caminho relativo no Apache Tomcat devido a uma regressão introduzida pela correção do bug 60013, onde URLs reescritas eram normalizadas antes da decodificação. Isso permite que atacantes manipulem o URI da requisição e contornem restrições de segurança que protegem diretórios como /WEB-INF/ e /META-INF/. Se as requisições HTTP PUT estiverem habilitadas, arquivos maliciosos podem ser enviados, potencialmente levando à execução remota de código (RCE). Embora as requisições PUT sejam tipicamente restritas a usuários confiáveis, a possibilidade de RCE existe quando tanto a vulnerabilidade quanto as requisições PUT estão habilitadas. O problema também poderia levar à injeção de ANSI no console. Aproximadamente 6,1 milhões de dispositivos potencialmente afetados foram identificados.

Endpoints da API: Nenhum endpoint específico da API é mencionado.

Parâmetros ou Variáveis Vulneráveis: Nenhum parâmetro ou variável específico é mencionado.

Recomendações Apache Tomcat versões 11.0.11 ou posterior Apache Tomcat versões 10.1.45 ou posterior Apache Tomcat versões 9.0.109 ou posterior