CVE-2025-61795
Mis à jour :
Apache Tomcat : Vulnérabilité DoS liée aux téléversements multiparts
Une vulnérabilité affectant Apache Tomcat, identifiée sous la référence CVE-2025-61795, concerne la gestion incorrecte des ressources lors du traitement des téléversements multiparts. En cas d’erreur, notamment lors du dépassement de limites, les fichiers temporaires des parties téléversées ne sont pas immédiatement supprimés. Leur nettoyage est délégué au processus de ramasse-miettes (garbage collection).
Points Clés :
- Cause : Retard dans la suppression des fichiers temporaires lors d’erreurs de téléversement multipart.
- Impact : Risque de saturation de l’espace disque alloué à ces fichiers temporaires, menant à une condition de déni de service (DoS). La rapidité avec laquelle cet espace se remplit dépend des paramètres de la JVM, de l’utilisation de la mémoire par l’application et de la charge applicative.
- Versions affectées : Apache Tomcat 11.0.0-M1 à 11.0.11, 10.1.0-M1 à 10.1.46, et 9.0.0.M1 à 9.0.109. Les versions obsolètes 8.5.0 à 8.5.100 sont également concernées.
Vulnérabilité :
- CVE : CVE-2025-61795
- Type : Improper Resource Shutdown or Release (Fermeture ou libération incorrecte de ressources)
- CVSS 3.1 : Score de base de 5.3 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)
Recommandations :
Il est conseillé de mettre à jour Apache Tomcat vers les versions suivantes pour corriger cette vulnérabilité :
- 11.0.12 ou ultérieure
- 10.1.47 ou ultérieure
- 9.0.110 ou ultérieure