Специалисты обнаружили критическую уязвимость в популярном веб-сервере Apache Tomcat, получившую идентификатор CVE-2025-55752. Уязвимость представляет собой регрессию, возникшую при исправлении предыдущей проблемы CVE-2016-5388, и оценивается в 7.5 баллов по шкале CVSS.
Детали узявимости
Проблема заключается в некорректной обработке URL-адресов при настройках перезаписи. Как пояснили эксперты, нормализация переписанного URL происходит до декодирования, что создает возможность для аутентифицированного злоумышленника обходить ограничения безопасности защищенных каталогов, включая /WEB-INF/ и /META-INF/. При использовании специально сконструированных URI атакующий может получить доступ к конфиденциальным данным приложения.
Особую опасность уязвимость представляет в случаях, когда на сервере активирован метод PUT. В такой ситуации злоумышленник может загружать вредоносные файлы для достижения удаленного выполнения кода. Специалисты отмечают, что метод PUT обычно ограничен для доверенных пользователей, и одновременное использование этой функции вместе с правилами перезаписи URI считается маловероятным сценарием.
Подверженными уязвимости признаны версии Apache Tomcat от 11.0.0-M1 до 11.0.10 включительно, от 10.1.0-M1 до 10.1.44, от 9.0.0.M1 до 9.0.108, а также версии 8.5.6 через 8.5.100, которые уже достигли конца жизненного цикла. Безопасными считаются версии 11.0.11 и выше, 10.1.45 и выше, 9.0.109 и выше.
Разработчики Apache Software Foundation рекомендуют пользователям немедленно обновиться до защищенных версий. Для определения текущей версии Tomcat можно использовать несколько методов. При установке из официального дистрибутива название папки после распаковки содержит номер версии. Если имя каталога было изменено, или используется установка через Windows Service Installer, версию можно определить с помощью встроенного модуля или запустив файлы version.bat (для Windows) или version.sh (для Linux) в каталоге bin.
Для проверки активации метода PUT следует изучить файл conf/web.xml системы. Опасной считается конфигурация, когда параметр org.apache.catalina.servlets.DefaultServlet readonly установлен в значение false.
В случаях, когда немедленное обновление невозможно, специалисты предлагают временные меры защиты. Наиболее эффективным решением является установка параметра readonly в значение true или его комментирование в файле conf/web.xml с последующим перезапуском службы Tomcat. Также рекомендуется отключить метод PUT и провести аудит правил перезаписи URL для ограничения доступа к защищенным каталогам.
Уязвимость была обнаружена исследователем Чуми Цай из CyCraft Technology и официально задокументирована 27 октября 2025 года. Apache Tomcat остается одним из самых популярных веб-серверов и сервлет-контейнеров для Java-приложений, что делает своевременное устранение уязвимости особенно важным для тысяч организаций по всему миру.
Эксперты по кибербезопасности напоминают, что регулярное обновление программного обеспечения и мониторинг выпуска исправлений безопасности являются ключевыми элементами защиты от потенциальных атак. Организациям, использующим уязвимые версии Apache Tomcat, следует расценить данную проблему как приоритетную для немедленного устранения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55752
- https://lists.apache.org/thread/n05kjcwyj1s45ovs8ll1qrrojhfb1tog
- https://www.mail-archive.com/announce@apache.org/msg10465.html
