Vulnerabilitatea din Apache Tomcat permite ocolirea regulilor și declanșarea atacurilor DoS

Apache Software Foundation a dezvăluit o vulnerabilitate de securitate semnificativă, CVE-2025-31650, în Apache Tomcat care ar putea permite atacatorilor să ocolească regulile de securitate și să declanșeze atacuri de tip denial-of-service (DoS) prin manipularea antetelor de prioritate HTTP.

Vulnerabilitatea provine din validarea necorespunzătoare a datelor de intrare în manipularea de către Apache Tomcat a antetelor de prioritate HTTP.

Atunci când atacatorii trimit numeroase cereri malițioase care conțin antete de prioritate HTTP invalide, aceștia pot declanșa o eroare OutOfMemoryException, generând un atac de tip denial-of-service ce face aplicația să nu mai fie disponibilă.

Antetul HTTP Priority este o componentă validă a comunicațiilor web care indică preferința unui utilizator pentru ordinea de prioritate în care trebuie furnizate răspunsurile.

Cu toate acestea, această nouă vulnerabilitate arată că procesarea de către Tomcat a acestor antete conține o eroare ce nu reușește să valideze și să verifice corect datele de intrare.

Vulnerabilitatea afectează următoarele versiuni Apache Tomcat:

• Apache Tomcat 11.0.0-M2 până la 11.0.5;
• Apache Tomcat 10.1.10 până la 10.1.39;
• Apache Tomcat 9.0.76 până la 9.0.102.

Utilizatorii acestor versiuni ar trebui să ia în considerare imediat actualizarea la versiunile remediate.

Vulnerabilitatea exploatează modul în care Tomcat gestionează resursele de memorie. Atunci când serverul primește un antet HTTP Priority invalid, acesta nu reușește să gestioneze corect resursele, creând o pierdere de memorie.

Apache Software Foundation recomandă următoarele măsuri de atenuare:

• Actualizați la Apache Tomcat 11.0.6 sau o versiune ulterioară;
• Actualizați la Apache Tomcat 10.1.40 sau la o versiune ulterioară;
• Actualizați la Apache Tomcat 9.0.104 sau o versiune ulterioară.

Sursă: https://cybersecuritynews.com/apache-tomcat-vulnerability-let-bypass-rules/