Vulnerabilità in Apache Tomcat: aggiornare subito per evitare rischi sicurezza

Redazione RHC : 28 Ottobre 2025 06:52

Numerose applicazioni web fanno affidamento su Apache Tomcat, un contenitore servlet Java open source di largo utilizzo. Il 27 ottobre 2025, Apache ha rivelato due vulnerabilità: CVE-2025-55752 e CVE-2025-55754, che interessano diverse versioni di Tomcat.

Le versioni interessate includono Apache Tomcat da 11.0.0-M1 a 11.0.10, da 10.1.0-M1 a 10.1.44 e da 9.0.0-M11 a 9.0.108, con anche le versioni precedenti di fine ciclo di vita (EOL) vulnerabili.

La necessità di un’immediata applicazione di patch negli ambienti aziendali è sottolineata dal fatto che il primo può comportare il rischio di esecuzione di codice remoto (RCE) in determinate configurazioni, mentre il secondo offre la possibilità di manipolazione della console.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità più grave, CVE-2025-55752, riguarda un bug di path traversal introdotto nella correzione di un precedente bug (60013). Gli URL riscritti vengono normalizzati prima della decodifica, consentendo agli aggressori di manipolare i parametri di query e di aggirare le protezioni per directory sensibili come /WEB-INF/ e /META-INF/.

Quando le richieste PUT sono attivate, una configurazione in genere limitata agli utenti di fiducia, si può verificare il caricamento di file nocivi, provocando così l’esecuzione di codice da remoto. Questa vulnerabilità, identificata da Chumy Tsai di CyCraft Technology, è stata classificata come estremamente grave, il che mette in evidenza il suo possibile impatto sui sistemi non aggiornati che utilizzano Tomcat in ambiente di produzione.

Oltre al problema di attraversamento, il CVE-2025-55754 risolve un bug di neutralizzazione impropria delle sequenze di escape ANSI nei messaggi di registro di Tomcat. Nei sistemi Windows dotati di console che supportano ANSI, gli aggressori potrebbero creare URL per iniettare sequenze che manipolano la visualizzazione della console, gli appunti o addirittura inducono gli amministratori a eseguire comandi.

Questa falla interessa Tomcat dalla versione 11.0.0-M1 alla 11.0.10, dalla 10.1.0-M1 alla 10.1.44 e dalla 9.0.0.40 alla 9.0.108, oltre a versioni EOL selezionate come dalla 8.5.60 alla 8.5.100.

Identificato da Elysee Franchuk di MOBIA Technology Innovations, il problema nasce dai log non sottoposti a escape, che consentono alle sequenze di controllo di influenzare il comportamento del terminale senza autenticazione.

Apache invita gli utenti ad aggiornare alle versioni mitigate: Tomcat 11.0.11, 10.1.45 o 9.0.109 e successive, che risolvono entrambe le vulnerabilità tramite una gestione URL migliorata e l’escape dei log.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli