CVE-2025-61795

Apache Tomcat : Vulnérabilité de Déni de Service lié aux téléchargements

Une faiblesse de sécurité a été identifiée dans Apache Tomcat, nommément CVE-2025-61795. Cette faille résulte d’une mauvaise gestion des ressources lors du traitement des téléchargements multipartites. En cas d’erreur, y compris le dépassement de limites, les fichiers temporaires des parties téléchargées ne sont pas immédiatement supprimés. Ils sont laissés pour être nettoyés par le processus de ramasse-miettes (garbage collection).

Points Clés :

• Nature de la vulnérabilité : Mauvaise gestion de la libération des ressources.
• Cause : Fichiers temporaires de téléchargements multipartites non supprimés immédiatement en cas d’erreur.
• Conséquence : Potentiel blocage du système (Déni de Service - DoS) si l’espace disque est saturé plus rapidement que le ramasse-miettes ne peut libérer d’espace.
• Facteurs aggravants : Paramètres JVM, utilisation de la mémoire de l’application et charge applicative.

Vulnérabilités :

• CVE-2025-61795 : Déni de Service (DoS) via la gestion retardée des fichiers temporaires des téléchargements multipartites.
  • CVSS 3.1 Base Score : 5.3 (AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)

Versions affectées :

• Apache Tomcat 11.0.0-M1 à 11.0.11
• Apache Tomcat 10.1.0-M1 à 10.1.46
• Apache Tomcat 9.0.0.M1 à 9.0.109
• Apache Tomcat 8.5.0 à 8.5.100 (versions fin de vie connues pour être affectées)
• D’autres versions antérieures en fin de vie pourraient également être concernées.

Recommandations :

Il est fortement conseillé de mettre à jour vers les versions corrigées :

• Apache Tomcat 11.0.12 ou ultérieure
• Apache Tomcat 10.1.47 ou ultérieure
• Apache Tomcat 9.0.110 ou ultérieure

Source