Vulnerabilidade do Apache Tomcat

28/11/2025 mindsecblog Notícias 0

Ameaça emergente: Vulnerabilidade do Apache Tomcat CVE-2025-55752

O que é CVE-2025-55752?

A vulnerabilidade CVE-2025-55752 é uma vulnerabilidade de travessia de diretório no Apache Tomcat. Ela surge de uma regressão introduzida durante uma correção de bug anterior. Devido a essa falha, o Tomcat normaliza URLs antes de decodificá-las, o que permite que atacantes criem requisições que burlam os controles de acesso e alcançam diretórios restritos como /WEB-INF/ e /META-INF/.

Em implantações onde o HTTP PUT está habilitado, um atacante poderia enviar arquivos por meio desse caminho e potencialmente obter execução remota de código (RCE). Embora não seja uma exploração “pronta para usar”, as condições de configuração adequadas podem torná-la perigosa para cargas de trabalho Tomcat expostas.

As versões afetadas incluem:

  • Tomcat 11.0.0-M1 até 11.0.10
  • Tomcat 10.1.0-M1 até 10.1.44
  • Tomcat 9.0.0-M11 até 9.0.108
  • Algumas versões em fim de vida útil também podem ser afetadas.

Este problema é grave porque o Tomcat é amplamente utilizado em aplicações web empresariais e middleware. Mesmo um pequeno número de instâncias vulneráveis ​​expostas pode representar um risco significativo.

Quais ativos são afetados pela vulnerabilidade CVE-2025-55752?

Sistemas que executam as versões afetadas do Tomcat estão em risco, especialmente quando:

  • As regras de reescrita estão ativadas.
  • O método HTTP PUT é permitido.
  • O servidor está exposto à internet ou acessível a partir de redes não confiáveis.
  • Existem implantações legadas ou sem manutenção do Tomcat.
  • A funcionalidade de upload de arquivos existe no aplicativo.

A TI paralela e os servidores esquecidos geralmente se enquadram nessa categoria. Eles tendem a apresentar a maior vulnerabilidade, pois raramente são monitorados ou recebem atualizações de segurança em tempo hábil.

Existem soluções disponíveis?

Sim. A Apache corrigiu o problema nas seguintes versões:

  • Tomcat 11.0.11 e versões superiores
  • Tomcat 10.1.45 e versões superiores
  • Tomcat 9.0.109 e versões superiores

Caso a aplicação de patches seja adiada, medidas temporárias incluem desativar o método PUT, revisar as regras de reescrita, controlar o acesso aos endpoints de upload e aumentar o monitoramento de comportamentos suspeitos durante o upload. Essas são medidas de curto prazo e não substituem a atualização.

As equipes de segurança devem:

  • Mapeie todos os servidores Tomcat em seu ambiente.
  • Verifique os números de versão e as configurações.
  • Confirme se as regras de reescrita e o comando PUT estão sendo usados.
  • Priorize os sistemas voltados para o público externo.
  • Monitore os registros em busca de tentativas de travessia de diretório ou uploads inesperados.
  • Verifique se as correções foram aplicadas corretamente após as atualizações.
  • Garanta que os parceiros e fornecedores terceirizados atualizem seus sistemas Tomcat com as atualizações de segurança.

Essa vulnerabilidade deve ser incluída nos manuais de detecção de ameaças e resposta a incidentes para serviços web expostos.

A vulnerabilidade CVE-2025-55752 está sendo explorada ativamente?

Neste momento, informações públicas indicam que a exploração é possível, mas ainda não está disseminada. Pesquisadores de segurança publicaram códigos de prova de conceito, e o Centro Belga de Segurança Cibernética alertou que tentativas de exploração são prováveis ​​em um futuro próximo. A pontuação EPSS reflete atualmente uma probabilidade baixa, porém não nula, de exploração, o que significa que a ameaça é real e pode aumentar à medida que os atacantes começarem a buscar sistemas Tomcat expostos.

Embora essa vulnerabilidade exija configurações específicas para ser totalmente explorável, a combinação do código PoC disponível e a ampla presença do Tomcat no ambiente corporativo tornam a ação imediata essencial. As organizações devem tratar essa vulnerabilidade como prioritária, monitorar atividades suspeitas e corrigir os sistemas afetados o mais rápido possível.

Como a CyCognito está ajudando os clientes a identificar ativos vulneráveis ​​ao CVE-2025-55752?

A CyCognito descobre e analisa continuamente ativos expostos externamente para ajudar as organizações a entender se a vulnerabilidade CVE-2025-55752 pode afetar seu ambiente. A plataforma identifica sistemas em risco, destaca configurações que aumentam a vulnerabilidade e prioriza a correção com base na importância para os negócios.

A CyCognito publicou um alerta de ameaça emergente em sua plataforma em 2 de novembro de 2025 e está pesquisando ativamente recursos aprimorados de detecção para essa vulnerabilidade. A plataforma já identifica ativos expostos vinculados a essa pilha de tecnologia, e a CyCognito recomenda que os clientes revisem quaisquer sistemas que executem o Apache Tomcat e serviços web relacionados para avaliar a possível exposição, mesmo que não sejam explicitamente identificados como executando as versões vulneráveis.

Consulte a página de Ameaças Emergentes da CyCognito para obter mais informações sobre vulnerabilidades potencialmente relevantes.

Como a CyCognito pode ajudar sua organização?

A CyCognito oferece às equipes de segurança uma visão clara de todos os ativos externos, incluindo sistemas cuja existência elas talvez desconheçam. Essa visibilidade facilita a localização de servidores Tomcat e a compreensão de quais deles são vulneráveis ​​e expostos. Em vez de analisar listas de alertas extensas e ruidosas, as equipes visualizam quais sistemas são mais relevantes com base no impacto nos negócios e nas possíveis explorações em situações reais.

A CyCognito ajuda a verificar se o problema foi resolvido e continua monitorando as alterações, para que nenhum sistema recém-exposto passe despercebido. Isso ajuda as organizações a agirem com mais rapidez, reduzirem os riscos com segurança e se anteciparem aos ataques, em vez de reagirem depois que eles já ocorreram.

Para saber como a CyCognito pode ajudar você a entender sua superfície de ataque externa e os riscos aos quais está exposto, visite a página de Contato de nosso representante para agendar uma demonstração

Veja também:

About mindsecblog 3345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Apenas 25% dos brasileiros se sentem seguros usando bancos online ou carteiras digitais

15/01/2024 mindsecblog Notícias 0

Apenas 25% dos brasileiros se sentem seguros usando bancos online ou carteiras digitais. Pesquisa da Kaspersky destaca que entre as razões de uso estão a disponibilidade em todos os momentos e facilidade na transação De acordo […]

Artigos

Por que o Brasil está entre os países mais invadidos no mundo?

25/11/2022 mindsecblog Artigos, Notícias 0

Por que o Brasil está entre os países mais invadidos no mundo? Em 2022 já foram mais 35 ataques bem-sucedidos a grandes empresas e órgãos governamentais no Brasil. Desde o início de 2022 até o […]

LGPD & PRIVACY

Restaurantes da Applebee’s são afetados por malware de cartão no POS

06/03/2018 mindsecblog LGPD & PRIVACY, Notícias 0

Restaurantes da Applebee’s afetados por malware de cartão no POS, onde os dados do cartão de pagamento foram roubados por atacantes com malware-Wielding.  Applebee’s em 15 estados Americanos – que vão do Alabama e do […]

Be the first to comment

Deixe sua opinião!