Apache Tomcat’ın CGI Servlet uygulamasında, saldırganların belirli koşullar altında yapılandırılmış güvenlik kısıtlamalarını atlamasına izin verebilecek yeni bir güvenlik açığı keşfedildi.
CVE-2025-46701 olarak adlandırılan güvenlik açığı 29 Mayıs 2025’te açıklandı ve popüler Java Uygulama Sunucusunun birden fazla sürümünü etkiledi.
Kusur, Apache Tomcat’ın CGI Servlet’teki vaka duyarlılığının uygunsuz ele alınmasından kaynaklanmaktadır ve özellikle CGI sunucu uygulamasına eşlenen URL’lerin pathinfo bileşenini etkilemektedir.
.png
)
Tomcat, Pathinfo bileşeni için yapılandırılmış güvenlik kısıtlamaları ile vaka duyarsız dosya sistemlerinde çalıştığında, özel olarak hazırlanmış URL’ler bu koruyucu önlemleri atlatabilir.
Güvenlik araştırmacıları, bu güvenlik açığını düşük bir ciddiyet olarak sınıflandırmıştır, ancak katı erişim kontrollerine sahip CGI tabanlı uygulamalara dayanan kuruluşlar için önemli bir endişeyi temsil etmektedir.
Güvenlik açığı, TOMCAT kurulumlarında varsayılan olarak devre dışı bırakılan CGI desteğinin etkinleştirildiği ortamları özellikle etkiler.
Apache Tomcat CGI Servlet Güvenlik Açığı
Güvenlik açığı, üç ana sürüm dalında çok çeşitli Apache Tomcat versiyonlarını etkiler. Etkilenen sürümler arasında Apache Tomcat 11.0.0-M1 ila 11.0.6, 10.1.0-M1 ila 10.1.40 ve 9.0.0-M1 ila 9.0.104 bulunur.
Bu geniş aralık, özellikle eski uygulamalar veya belirli geliştirme iş akışları için CGI desteğini sağlayan çok sayıda üretim ortamının potansiyel olarak savunmasız olabileceği anlamına gelir.
Apache Yazılım Vakfı, bu güvenlik açığının yalnızca CGI desteğinin açıkça etkinleştirildiği sistemleri etkilediğini vurgulamıştır, çünkü bu işlev tüm Tomcat sürümlerinde varsayılan olarak devre dışı kalır.
TOMCAT’ı öncelikle CGI işlevselliği olmadan standart web uygulaması barındırma için kullanan kuruluşlar bu özel saldırı vektörüne maruz kalmaz.
Apache Software Foundation, etkilenen tüm dallarda bu güvenlik açığını ele alan yamalı versiyonlar yayınladı. Kuruluşlar, mevcut dağıtımlarına bağlı olarak Apache Tomcat 11.0.7, 10.1.41 veya 9.0.105’e yükseltilmelidir.
Bu güncellenmiş sürümler, CGI sunucu uygulaması uygulamasında uygun vaka hassasiyeti işlemesini içerir.
Güvenlik açığı, GitHub profili güvenlik araştırmalarında uzmanlığı gösteren güvenlik araştırmacısı Greg K tarafından sorumlu bir şekilde açıklandı. Bu keşif, üretim ortamlarında yaygın olarak kullanılmayan özellikler için bile, yaygın olarak görevlendirilmiş yazılım bileşenlerinin sürekli güvenlik değerlendirmesinin öneminin altını çizmektedir.
Sistem yöneticileri, CGI desteğinin etkin olup olmadığını ve Pathinfo bileşenlerine güvenlik kısıtlamalarının uygulanıp uygulanmadığını belirlemek için tomcat dağıtımlarını derhal değerlendirmelidir.
CGI işlevselliğini kullanan kuruluşlar, yamalı sürümlere yükseltmeye öncelik vermelidir, ancak CGI desteği gerektirmeyenler, ek bir güvenlik önlemi olarak devre dışı kalmasını sağlamalıdır.
Düzenli güvenlik denetimleri ve satıcı güvenlik danışmanları ile güncel kalmak, kurumsal ortamlarda güvenli Apache Tomcat dağıtımlarını sürdürmek için kritik uygulamalar olmaya devam etmektedir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.