CVE-2025-55752
Mis à jour :
Apache Tomcat : Danger de traversée de chemin et exécution de code à distance
Une vulnérabilité critique, identifiée sous la référence CVE-2025-55752, a été découverte dans Apache Tomcat. Elle résulte d’une régression introduite lors de la correction d’un problème antérieur, où les URL réécrites étaient normalisées avant d’être décodées. Cela permet à des attaquants de manipuler les URI des requêtes via des paramètres de requête réécrits, contournant ainsi les mesures de sécurité et accédant à des répertoires sensibles tels que /WEB-INF/ et /META-INF/.
Si les requêtes PUT sont activées, bien que ce ne soit pas une configuration courante, les attaquants pourraient exploiter cette faille pour téléverser des fichiers malveillants, ouvrant la voie à une exécution de code à distance (RCE).
Vulnérabilités :
- CVE-2025-55752 : Relative Path Traversal (traversée de chemin relatif)
Versions affectées :
- Apache Tomcat 11.0.0-M1 à 11.0.10
- Apache Tomcat 10.1.0-M1 à 10.1.44
- Apache Tomcat 9.0.0.M11 à 9.0.108
- Versions plus anciennes et obsolètes
Recommandations :
Les utilisateurs d’Apache Tomcat sont vivement encouragés à mettre à jour leurs instances vers des versions corrigées dès que possible. Bien que l’exploitation pour RCE nécessite une configuration spécifique (requêtes PUT activées), la traversée de chemin reste une menace significative pour la confidentialité et l’intégrité des données.