Redazione RHC : 28 Ottobre 2025 06:52
Numerose applicazioni web fanno affidamento su Apache Tomcat, un contenitore servlet Java open source di largo utilizzo. Il 27 ottobre 2025, Apache ha rivelato due vulnerabilità: CVE-2025-55752 e CVE-2025-55754, che interessano diverse versioni di Tomcat.
Le versioni interessate includono Apache Tomcat da 11.0.0-M1 a 11.0.10, da 10.1.0-M1 a 10.1.44 e da 9.0.0-M11 a 9.0.108, con anche le versioni precedenti di fine ciclo di vita (EOL) vulnerabili.
La necessità di un’immediata applicazione di patch negli ambienti aziendali è sottolineata dal fatto che il primo può comportare il rischio di esecuzione di codice remoto (RCE) in determinate configurazioni, mentre il secondo offre la possibilità di manipolazione della console.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità più grave, CVE-2025-55752, riguarda un bug di path traversal introdotto nella correzione di un precedente bug (60013). Gli URL riscritti vengono normalizzati prima della decodifica, consentendo agli aggressori di manipolare i parametri di query e di aggirare le protezioni per directory sensibili come /WEB-INF/ e /META-INF/.
Quando le richieste PUT sono attivate, una configurazione in genere limitata agli utenti di fiducia, si può verificare il caricamento di file nocivi, provocando così l’esecuzione di codice da remoto. Questa vulnerabilità, identificata da Chumy Tsai di CyCraft Technology, è stata classificata come estremamente grave, il che mette in evidenza il suo possibile impatto sui sistemi non aggiornati che utilizzano Tomcat in ambiente di produzione.
Oltre al problema di attraversamento, il CVE-2025-55754 risolve un bug di neutralizzazione impropria delle sequenze di escape ANSI nei messaggi di registro di Tomcat. Nei sistemi Windows dotati di console che supportano ANSI, gli aggressori potrebbero creare URL per iniettare sequenze che manipolano la visualizzazione della console, gli appunti o addirittura inducono gli amministratori a eseguire comandi.
Questa falla interessa Tomcat dalla versione 11.0.0-M1 alla 11.0.10, dalla 10.1.0-M1 alla 10.1.44 e dalla 9.0.0.40 alla 9.0.108, oltre a versioni EOL selezionate come dalla 8.5.60 alla 8.5.100.
Identificato da Elysee Franchuk di MOBIA Technology Innovations, il problema nasce dai log non sottoposti a escape, che consentono alle sequenze di controllo di influenzare il comportamento del terminale senza autenticazione.
Apache invita gli utenti ad aggiornare alle versioni mitigate: Tomcat 11.0.11, 10.1.45 o 9.0.109 e successive, che risolvono entrambe le vulnerabilità tramite una gestione URL migliorata e l’escape dei log.
RedazioneOggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la C...
Con nuove funzionalità per anticipare le minacce e accelerare il ripristino grazie a sicurezza di nuova generazione, approfondimenti forensi e automazione intelligente, Veeam lancia anche la Universa...
Milioni di utenti sono esposti al rischio di infezioni da malware e compromissione del sistema a causa dello sfruttamento attivo da parte degli hacker di una vulnerabilità critica di esecuzione di co...
Il 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
