Apache Tomcat’ın CGI Servlet’inde yeni açıklanan bir güvenlik açığı olan CVE-2025-46701, saldırganların belirli koşullar altında güvenlik kısıtlamalarını atlamasına izin veren tanımlanmıştır.
29 Mayıs 2025’te açıklanan kusur, durumdaki vaka duyarlılığının uygunsuz ele alınmasından kaynaklanmaktadır. pathInfo CGI sunucu uygulamasına eşlenen URL’lerin bileşeni.
Tomcat, vaka duyarsız bir dosya sistemine (Windows veya MacOS gibi) dağıtıldığında ve güvenlik kısıtlamaları için yapılandırıldı pathInfoözel olarak hazırlanmış URL’ler bu korumaları atlatabilir ve sınırlı CGI kaynaklarına yetkisiz erişim sağlayabilir.
.png
)
Bu güvenlik açığı, yalnızca CGI desteğinin açıkça etkinleştirildiği ortamları etkilediği için Apache Software Foundation tarafından düşük bir ciddiyet olarak sınıflandırılır – tüm Tomcat sürümlerinde varsayılan olarak devre dışı bırakılan bir özellik.
Bununla birlikte, katı erişim kontrollerine sahip CGI tabanlı uygulamalara dayanan kuruluşlar için risk dikkat çekicidir.
Teknik detaylar ve etkilenen versiyonlar
Güvenlik açığı, TOMCAT’ın CGI Servlet’inin vaka duyarsız ortamlardaki URL yollarını yorumlama şeklini özellikle etkiler.
Karakterlerin durumunu manipüle ederek pathInfo Bir URL’nin bir kısmı, bir saldırgan, aksi takdirde belirli CGI komut dosyalarına erişimi kısıtlayacak güvenlik kısıtlamalarını atlayabilir.
Bu sorun, dosya sisteminin davranışının uygulamanın güvenlik mantığından ayrıldığı bir vaka duyarlılığı hatasının klasik bir örneğidir.
Etkilenen sürümler
| Etkilenen yazılım/bileşen | Savunmasız versiyonlar | Sabit versiyon |
|---|---|---|
| Apache Tomcat (çekirdek, Catalina, Gömme Çekirdek) | 11.0.0-m1 ila 11.0.6 | 11.0.7 |
| 10.1.0-M1 ila 10.1.40 | 10.1.41 | |
| 9.0.0.m1 ila 9.0.104 | 9.0.105 | |
| Maven: org.apache.tomcat.embed: Tomcat-Embed-Core | > = 11.0.0-m1 <11.0.7 | 11.0.7 |
| Maven: org.apache.tomcat.embed: Tomcat-Embed-Core | > = 10.1.0-m1 <10.1.41 | 10.1.41 |
| Maven: org.apache.tomcat.embed: Tomcat-Embed-Core | > = 9.0.0.m1 <9.0.105 | 9.0.105 |
| Maven: org.apache.tomcat: tomcat-catalina | > = 11.0.0-m1 <11.0.7 | 11.0.7 |
| Maven: org.apache.tomcat: tomcat-catalina | > = 10.1.0-m1 <10.1.41 | 10.1.41 |
| Maven: org.apache.tomcat: tomcat-catalina | > = 9.0.0.m1 <9.0.105 | 9.0.105 |
Güvenlik kısıtlaması yapılandırması örneği
Tipik bir web.xml güvenlik kısıtlaması şöyle görünebilir:
xml
Restricted CGI
/cgi-bin/*
admin
Temel dosya sistemi vaka duyarsızsa, /CGI-bin/script.cgi Servlet, korunan kaynağı açığa çıkararak, sunucu uygulaması durumu düzgün bir şekilde normalleştirmezse bu kısıtlamayı atlayabilir.
Azaltma ve öneriler
Apache Software Foundation, CGI Servlet’teki vaka hassasiyeti kusurunu ele alan TOMCAT 11.0.7, 10.1.41 ve 9.0.105 olan yamalı sürümler yayınladı.
CGI işlevselliği kullanan kuruluşlar, bu sürümlere yükseltmeye öncelik vermelidir. CGI desteği gerektirmeyenler için, CGI sunucu uygulamasının devre dışı kalmasını sağlamak ve saldırı yüzeyini daha da azaltır.
Azaltma Adımları:
- Dağıtım sürümünüze bağlı olarak Apache Tomcat 11.0.7, 10.1.41 veya 9.0.105’e yükseltin.
- CGI gerekmiyorsa, TOMCAT yapılandırmanızda CGI sunucu uygulamasının devre dışı bırakıldığını onaylayın.
- Lütfen güvenlik kısıtlamalarını inceleyin ve güncelleyin
web.xmlÖzellikle karma durumlu ortamlarda sağlam olduklarından emin olmak için. - Tomcat dağıtımlarını, risk getirebilecek miras veya gereksiz özellikler için düzenli olarak denetleyin.
Keşif için kredi:
Güvenlik açığı, güvenlik araştırmacısı Greg K tarafından sorumlu bir şekilde açıklandı ve olgun, yaygın olarak kullanılan açık kaynaklı projelerde bile devam eden uyanıklık ihtiyacını vurguladı.
CVE-2025-46701’in şiddeti düşük olarak derecelendirilirken, miras özelliklerinden ve platforma özgü davranışlardan kaynaklanabilecek nüanslı risklerin bir hatırlatıcısı olarak hizmet eder.
Tomcat’taki CGI’ye güvenen kuruluşlar, etkilenen işlevselliği yamalamak veya devre dışı bırakmak için hızlı hareket etmeli ve güvenlik kısıtlamalarının vaka duyarlılık sorunları nedeniyle yanlışlıkla atlanmamasını sağlamalıdır.
Apache Tomcat’in güvenli işletme dağıtımları için düzenli güncellemeler ve yapılandırma incelemeleri gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!