CVE-2025-61795

Apache Tomcat : Fuite de ressources lors des téléversements

Une vulnérabilité a été découverte dans Apache Tomcat, spécifiquement lors du traitement des téléversements multipart. Si une erreur survient pendant ce processus, y compris le dépassement de limites, les fichiers temporaires des parties téléversées ne sont pas supprimés immédiatement. Ils sont laissés pour le ramasse-miettes (garbage collection).

Si l’utilisation de la mémoire du serveur et la charge applicative sont élevées, l’espace disque occupé par ces fichiers temporaires peut se remplir plus rapidement que le ramasse-miettes ne peut les nettoyer. Cela peut entraîner une condition de déni de service (DoS).

Points clés :

• Nature de la vulnérabilité : Mauvaise gestion des ressources lors des téléversements multipart.
• Impact : Déni de service (DoS) potentiel en raison du remplissage de l’espace disque par des fichiers temporaires.
• Causes : Erreurs lors du traitement des téléversements, y compris le dépassement de limites, entraînant une suppression retardée des fichiers temporaires.

Vulnérabilités :

• CVE-2025-61795 : Vulnérabilité de type “Improper Resource Shutdown or Release” (Mauvaise fermeture ou libération de ressources) dans Apache Tomcat.

Versions affectées :

• Apache Tomcat 11.0.0-M1 à 11.0.11
• Apache Tomcat 10.1.0-M1 à 10.1.46
• Apache Tomcat 9.0.0.M1 à 9.0.109
• Potentiellement les versions plus anciennes et obsolètes (EOL), y compris 8.5.0 à 8.5.100.

Recommandations :

Il est recommandé aux utilisateurs de mettre à jour vers les versions suivantes pour corriger cette vulnérabilité :

• Apache Tomcat 11.0.12 ou une version ultérieure
• Apache Tomcat 10.1.47 ou une version ultérieure
• Apache Tomcat 9.0.110 ou une version ultérieure

Source