Фонд Apache Software Foundation опубликовал информацию о двух уязвимостях безопасности, затрагивающих несколько версий популярного веб-сервера Apache Tomcat. Одна из обнаруженных проблем представляет серьезную угрозу удаленного выполнения кода на уязвимых серверах.
Детали уязвимостей
Обнаруженные уязвимости затрагивают Apache Tomcat версий 9, 10 и 11, что побудило экспертов по безопасности выпустить срочные предупреждения для системных администраторов о необходимости немедленного обновления установленных версий.
Наиболее критическая уязвимость, получившая идентификатор CVE-2025-55752 и оцененная как "важная" по уровню серьезности, возникла из-за регрессии, появившейся при исправлении предыдущей ошибки. Эта уязвимость обхода каталогов позволяет злоумышленникам манипулировать URI запросов через перезаписанные URL-адреса, которые нормализуются перед декодированием.
Особенность данной уязвимости заключается в том, что она затрагивает правила перезаписи, манипулирующие параметрами запроса, что позволяет атакующим обходить критически важные ограничения безопасности, предназначенные для защиты конфиденциальных каталогов, таких как /WEB-INF/ и /META-INF/.
Реальная опасность возникает, когда на уязвимых серверах разрешены PUT-запросы. В этом сценарии злоумышленники могут использовать слабость обхода каталогов для загрузки вредоносных файлов на сервер, что в конечном итоге приводит к удаленному выполнению кода. Однако эксперты по безопасности отмечают, что PUT-запросы обычно ограничены для доверенных пользователей, что делает сценарий эксплуатации менее распространенным в рабочих средах.
Уязвимость была обнаружена исследователем безопасности Чуми Цай из CyCraft Technology и затрагивает Apache Tomcat версий 11.0.0-M1 через 11.0.10, 10.1.0-M1 через 10.1.44 и 9.0.0.M11 через 9.0.108.
Вторая уязвимость, CVE-2025-55754, имеет более низкий рейтинг серьезности, но все равно представляет определенные проблемы безопасности. Эта проблема связана с невозможностью Apache Tomcat должным образом экранировать ANSI escape-последовательности в сообщениях журнала.
Когда Tomcat работает в консольной среде на системах Windows, поддерживающих ANSI escape-последовательности, злоумышленники могут создавать специально разработанные URL-адреса для внедрения вредоносных escape-последовательностей в выходные данные журнала. Эти внедренные последовательности могут манипулировать отображением консоли и содержимым буфера обмена, потенциально обманывая системных администраторов и заставляя их выполнять команды, контролируемые атакующим.
Хотя в основном эта уязвимость наблюдается на платформах Windows, исследователи предупреждают, что аналогичные векторы атак могут существовать и в других операционных системах. Уязвимость была идентифицирована Элизе Франчуком из MOBIA Technology Innovations и затрагивает аналогичные диапазоны версий в сериях Apache Tomcat 9, 10 и 11.
Apache выпустил исправленные версии для устранения обеих уязвимостей. Организации, использующие затронутые установки Tomcat, должны немедленно обновиться до версии 11.0.11, 10.1.45 или 9.0.109 в зависимости от их развертывания. Обновления безопасности были анонсированы 27 октября 2025 года, а подробные рекомендации по смягчению последствий доступны через официальные уведомления о безопасности Apache для каждой затронутой серии версий.
Эксперты подчеркивают, что хотя вторая уязвимость имеет более низкий приоритет, она все равно требует внимания, поскольку может использоваться в составе многоступенчатых атак. Сочетание этих двух уязвимостей создает потенциально опасную ситуацию, когда злоумышленники могут сначала получить доступ к системе через уязвимость обхода каталогов, а затем скрыть свою деятельность с помощью манипуляций с консолью.
Руководителям ИТ-отделов и администраторам систем рекомендуется провести инвентаризацию всех развернутых экземпляров Apache Tomcat в своих инфраструктурах и убедиться в применении соответствующих исправлений. Для организаций, которые не могут немедленно обновить свои системы, Apache предоставляет временные меры mitigation, включая отключение PUT-запросов и мониторинг подозрительной активности в журналах.
По данным статистики использования веб-серверов, Apache Tomcat остается одним из наиболее распространенных решений для размещения Java-приложений, что делает эти уязвимости особенно значимыми для корпоративной среды. Многие финансовые учреждения, государственные организации и крупные предприятия полагаются на стабильность и безопасность этого решения, поэтому своевременное применение исправлений критически важно для поддержания общей кибербезопасности.
Специалисты также отмечают важность регулярного аудита безопасности и мониторинга не только основных производственных систем, но и сред разработки и тестирования, где часто используются устаревшие версии программного обеспечения. Комплексный подход к управлению уязвимостями должен включать не только технические меры, но и обучение персонала правилам безопасности и процедурам реагирования на инциденты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55752
- https://www.cve.org/CVERecord?id=CVE-2025-55754
- https://lists.apache.org/thread/n05kjcwyj1s45ovs8ll1qrrojhfb1tog
- https://lists.apache.org/thread/j7w54hqbkfcn0xb9xy0wnx8w5nymcbqd
- https://lists.apache.org/thread/38vqp0v1fg4gr8c6lvm15wj6k67hxzxd
