CVE-2025-55752
Mis à jour :
Apache Tomcat : Le chemin de traversée met en péril les serveurs
Une faille de sécurité (CVE-2025-55752) impacte Apache Tomcat, permettant à des attaquants de naviguer au-delà des répertoires autorisés. Ce problème découle d’une régression introduite lors d’une correction antérieure, où la normalisation des URL réécrites précédait leur décodage.
Les attaquants peuvent exploiter cette faiblesse en manipulant les URI de requête via des paramètres de requête réécrits. Cela leur permettrait d’outrepasser les contrôles de sécurité et d’accéder à des zones sensibles telles que /WEB-INF/ et /META-INF/.
Si les requêtes PUT sont activées, une configuration peu courante, l’exploitation de cette faille pourrait entraîner l’upload de fichiers malveillants et potentiellement aboutir à une exécution de code à distance (RCE).
Points clés :
- Type de vulnérabilité : Traversal de chemin relatif.
- Cause : Régression introduite lors de la correction d’un bug antérieur, affectant la normalisation et le décodage des URL réécrites.
- Impact : Accès non autorisé à des répertoires sensibles, possibilité d’exécution de code à distance en cas d’activation des requêtes PUT.
Vulnérabilités :
- CVE-2025-55752
Versions affectées :
- Apache Tomcat 11.0.0-M1 à 11.0.10
- Apache Tomcat 10.1.0-M1 à 10.1.44
- Apache Tomcat 9.0.0.M11 à 9.0.108
- Versions plus anciennes et obsolètes.
Recommandations :
- Mettre à jour Apache Tomcat vers une version corrigée. L’article ne précise pas la version exacte corrigée, mais une mise à jour vers la dernière version stable disponible est fortement recommandée.
- Désactiver les requêtes PUT si elles ne sont pas strictement nécessaires pour l’application.