Apache Yazılım Vakfı, Apache Tomcat’in birden fazla sürümünü etkileyen iki yeni güvenlik açığını açıklayarak sistem yöneticilerini derhal harekete geçmeleri konusunda uyardı. CVE-2025-55752 ve CVE-2025-55754 olarak tanımlanan kusurlar 27 Ekim 2025’te resmi olarak duyuruldu ve Tomcat’in 9, 10 ve 11 sürümlerini etkiliyor.
CVE-2025-55752: Uzaktan Kod Yürütülmesine Yol Açan Dizin Geçişi
İki güvenlik açığından daha ciddi olanı olan CVE-2025-55752, “Önemli” önem derecesi olarak sınıflandırılmıştır. Bu, daha önceki bir soruna yönelik düzeltme sırasında ortaya çıkan bir gerilemeden kaynaklanmaktadır (hata 60013). Bu kusur, yeniden yazılan URL’ler aracılığıyla dizin geçişine olanak tanıyarak, bir saldırganın kodu çözülmeden önce normalleştirilen istek URI’lerini değiştirmesine olanak tanıyor.
Bu davranış, saldırganların Tomcat’in /WEB-INF/ ve /META-INF/ gibi hassas dizinleri koruyan güvenlik mekanizmalarını atlamasını sağlayabilir. Sunucuda HTTP PUT istekleri etkinleştirilmişse durum özellikle tehlikeli hale gelir. Bu koşullar altında, bir saldırgan, kötü amaçlı dosyaları yüklemek için bu güvenlik açığından yararlanarak ana sistemde uzaktan kod yürütme (RCE) gerçekleştirme potansiyeline sahip olabilir.
Güvenlik uzmanları, bu saldırı vektörünün ciddi olmasına rağmen, PUT isteklerinin genellikle güvenilir kullanıcılarla sınırlı olması nedeniyle tipik üretim ortamlarında istismar olasılığının daha düşük olduğunu belirtiyor.
Güvenlik açığı aşağıdaki Apache Tomcat sürümlerini etkiler:
- 11.0.0-M1’den 11.0.10’a kadar
- 10.1.0-M1 ila 10.1.44
- 9.0.0.M11 ila 9.0.108
Daha eski, kullanım ömrü sonu (EOL) versiyonları da risk altında olabilir.
Azaltma: Yöneticilerin Apache Tomcat 11.0.11, 10.1.45 veya 9.0.109 veya sonraki bir sürüme yükseltmeleri önerilir. Bu yamalı sürümler sorunu çözer.
Kusur, güvenlik açığını bildiren CyCraft Technology’den Chumy Tsai tarafından keşfedildi.
Resmi danışma belgesinde Apache Yazılım Vakfı’ndan Mark Thomas, sorunun “yeniden yazılan URL’nin kodu çözülmeden önce normalleştirildiği” bir gerilemeden kaynaklandığını açıkladı. Bu, saldırganların yeniden yazma kurallarındaki sorgu parametrelerini değiştirmesine ve hassas yolları koruyan kısıtlamaları atlamasına olanak tanıdı.
CVE-2025-55754: Günlük Ekleme Yoluyla Konsol Manipülasyonu
İkinci kusur olan CVE-2025-55754, “Düşük” önem derecesi olarak derecelendirildi ancak yine de dikkate değer bir risk teşkil ediyor. Apache Tomcat bir konsol ortamında, özellikle de bu dizileri destekleyen Windows sistemlerinde çalışırken, günlük mesajlarındaki ANSI kaçış dizileri aracılığıyla konsolun manipülasyonuna izin verir.
Saldırganlar, Tomcat tarafından oturum açıldığında konsol çıktısına kaçış dizileri ekleyen özel URL’ler oluşturabilir. Bunlar konsolun görünümünü veya pano içeriğini değiştirebilir ve yöneticileri istenmeyen komutları çalıştırmaya kandırabilir. Her ne kadar öncelikli olarak Windows sistemlerinde gözlemlense de araştırmacılar, benzer saldırı modellerinin diğer platformlarda da oluşabileceği konusunda uyarıyor.
Sorun, CVE-2025-55752 ile aynı sürüm aralıklarını etkilemektedir:
- 11.0.0-M1’den 11.0.10’a kadar
- 10.1.0-M1 ila 10.1.44
- 9.0.40 ila 9.0.108
Azaltma: Kullanıcılar, her iki güvenlik açığına yönelik düzeltmeler içeren Apache Tomcat 11.0.11, 10.1.45 veya 9.0.109 sürümüne yükseltme yapmalıdır.
Bu güvenlik açığı, danışmanlık hizmeti veren MOBIA Technology Innovations’tan Elysee Franchuk tarafından keşfedildi.
Zaman Çizelgesi ve Resmi Danışma
Apache Yazılım Vakfı, güvenlik danışma belgesini 27 Ekim 2025’te yayınlayarak kuruluşları Tomcat kurulumlarını gecikmeden güncellemeye çağırdı. Duyuruda ayrıntılı azaltma adımları özetlendi ve etkilenen şubelerin en son kararlı sürümlerinde her iki güvenlik açığının da çözüldüğü doğrulandı.
Yöneticiler için Önerilen Eylemler
Apache Tomcat kullanan sistem yöneticilerine şunları yapmaları tavsiye edilir:
- Yüklü sürümleri güvenlik açığı bulunan aralıklara göre kontrol ederek etkilenen dağıtımları belirleyin.
- Bu ayar, CVE-2025-55752’den potansiyel olarak yararlanmanın anahtarı olduğundan, gerekli olmadıkça HTTP PUT isteklerini devre dışı bırakın veya kısıtlayın.
- Her iki güvenlik açığını da gidermek için en son güncellemeleri (Tomcat 11.0.11, 10.1.45 veya 9.0.109) uygulayın.
- CVE-2025-55754 ile ilişkili riskleri azaltmak için özellikle Windows sistemlerinde günlüğe kaydetme ve konsol yapılandırmalarını gözden geçirin.
- Beklenmeyen yüklemeler, olağandışı günlük girişleri veya anormal konsol davranışları gibi şüpheli etkinlikleri izleyin.