Alvorlig sårbarhed i Apache Tomcat

Eskil Sørensen

10.30.2025 12:01

Der er fundet en alvorlig sårbarhed i Apache Tomcat, der gør det muligt for en ondsindet aktør at manipulere URL-parametre og omgå adgangsbegrænsninger til følsomme kataloger som /WEB-INF/ og /META-INF/. Hvis PUT-forespørgsler er aktiveret, kan det endda føre til upload og eksekvering af skadelig kode på fjernsystemer.

Sårbarheden har id’et EUVD-2025-36224 / CVE-2025-55752 og en CVSS-score på 7,5. EPSS-scoren er pt. 0, men det kan ændre sig, hvis der udvikles exploit-kode og organisationer undlader at patche.

De berørte versioner er

Apache Tomcat 11.0.0-M1 til 11.0.10
Apache Tomcat 10.1.0-M1 til 10.1.44
Apache Tomcat 9.0.0.M11 til 9.0.108
Ældre EOL-versioner kan også være påvirket.

De anbefales, at de berørte installationer opdateres i henhold til producentens vejledning. Det kan overvejes at deaktivere PUT-forespørgsler, hvis de ikke er nødvendige og / eller gennemgå omskrivningsregler og adgangsbegrænsninger i webserver-konfigurationen.

Læs mere

https://lists.apache.org/thread/n05kjcwyj1s45ovs8ll1qrrojhfb1tog

Sårbarhed