Vulnerabilità in Apache Tomcat: aggiornare subito per evitare rischi sicurezza

Numerose applicazioni web fanno affidamento su Apache Tomcat, un contenitore servlet Java open source di largo utilizzo. Il 27 ottobre 2025, Apache ha rivelato due vulnerabilità: CVE-2025-55752 e CVE-2025-55754, che interessano diverse versioni di Tomcat.

Le versioni interessate includono Apache Tomcat da 11.0.0-M1 a 11.0.10, da 10.1.0-M1 a 10.1.44 e da 9.0.0-M11 a 9.0.108, con anche le versioni precedenti di fine ciclo di vita (EOL) vulnerabili.

La necessità di un’immediata applicazione di patch negli ambienti aziendali è sottolineata dal fatto che il primo può comportare il rischio di esecuzione di codice remoto (RCE) in determinate configurazioni, mentre il secondo offre la possibilità di manipolazione della console.

La vulnerabilità più grave, CVE-2025-55752, riguarda un bug di path traversal introdotto nella correzione di un precedente bug (60013). Gli URL riscritti vengono normalizzati prima della decodifica, consentendo agli aggressori di manipolare i parametri di query e di aggirare le protezioni per directory sensibili come /WEB-INF/ e /META-INF/.

Quando le richieste PUT sono attivate, una configurazione in genere limitata agli utenti di fiducia, si può verificare il caricamento di file nocivi, provocando così l’esecuzione di codice da remoto. Questa vulnerabilità, identificata da Chumy Tsai di CyCraft Technology, è stata classificata come estremamente grave, il che mette in evidenza il suo possibile impatto sui sistemi non aggiornati che utilizzano Tomcat in ambiente di produzione.

Oltre al problema di attraversamento, il CVE-2025-55754 risolve un bug di neutralizzazione impropria delle sequenze di escape ANSI nei messaggi di registro di Tomcat. Nei sistemi Windows dotati di console che supportano ANSI, gli aggressori potrebbero creare URL per iniettare sequenze che manipolano la visualizzazione della console, gli appunti o addirittura inducono gli amministratori a eseguire comandi.

Questa falla interessa Tomcat dalla versione 11.0.0-M1 alla 11.0.10, dalla 10.1.0-M1 alla 10.1.44 e dalla 9.0.0.40 alla 9.0.108, oltre a versioni EOL selezionate come dalla 8.5.60 alla 8.5.100.

Identificato da Elysee Franchuk di MOBIA Technology Innovations, il problema nasce dai log non sottoposti a escape, che consentono alle sequenze di controllo di influenzare il comportamento del terminale senza autenticazione.

Apache invita gli utenti ad aggiornare alle versioni mitigate: Tomcat 11.0.11, 10.1.45 o 9.0.109 e successive, che risolvono entrambe le vulnerabilità tramite una gestione URL migliorata e l’escape dei log.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks