Apache Tomcat Web sunucularını etkileyen çoklu kritik güvenlik açıkları, hizmet reddi (DOS) saldırılarını ve kimlik doğrulama bypass’a izin veren bir orta şiddetli güvenlik açığı sağlayan iki yüksek şiddetli kusur da dahil olmak üzere.
CVE-2025-48976, CVE-2025-48988, CVE-2025-49124 ve CVE-2025-49125 olarak tanımlanan bu güvenlik açıkları, dünya çapında 9.0.x’ten 11.0’dan 11.0 serisi yayılan milyonlarca web uygulaması üzerinde çalışan milyonlarca web uygulaması.
Güvenlik açıkları, 16 Haziran 2025’te güvenlik araştırmacısı Mark Thomas tarafından bildirildi ve etkilenen tüm sürüm şubelerinde hemen yamalar mevcuttu.
.png
)
CVE-2025-48976: Çok partili başlık kullanımı yoluyla bellek tükenmesi
CVE-2025-48976 güvenlik açığı, Tomcat’ın çok partili istek işlenmesinin ayrılmaz bir bileşeni olan Apache Commons FileUpload’da sabit bir bellek tahsisi sınırlamasından kaynaklanmaktadır.
Yama yapmadan önce, kütüphane çok partili istekler içindeki ayrı parça başlıkları için sabit kodlanmış 10KB sınır uyguladı. Saldırganlar, bu sınıra yaklaşan başlıklarla çok sayıda parça içeren talepler oluşturabilir ve Tomcat’ı parça sayısıyla orantılı aşırı bellek tahsis etmeye zorlar.
Örneğin, 1.000 parça içeren bir istek, yalnızca başlıklar için yaklaşık 10MB bellek tüketerek potansiyel olarak bellek dışı hataları ve hizmet kesintisini tetikleyecektir.
Etkilenen versiyonlar arasında Tomcat 9.0.0.m1–9.0.105, 10.1.0-m1–10.1.41 ve 11.0.0-m1–11.0.7 bulunmaktadır.
CVE-2025-48988: Çok partili yükleme kaynak tükenmesi
CVE-2025-48988, Tomcat’ın boyut sınırlarını uygularken istek parametreleri ve çok taraflı parçalar arasında ayrım yapamamasını kullanır.
Standart parametrelerin aksine, çok partili parçalar, istek işleme boyunca bellekte devam eden başlıkları içerir.
Saldırganlar, her biri minimum yüklü ancak ~ 500 bayt tüketen başlıklar olan yüksek parça sayısı (örn. 10.000 parça) ile istek gönderebilirler. Bu, istek başına ~ 5MB tahsis ederek hızlı bellek tükenmesini sağlayacaktır.
Güvenlik açığının şiddeti, Tomcat’ın varsayılan eşzamanlı bağlantıların işlenmesi ile birleştirilir ve saldırganların paralel isteklerle etkiyi artırmasına izin verir.
CVE-2025-49124: Windows yükleyicisi yan yükleme riski
CVE-2025-49124, Tomcat Windows yükleyicisinin ICACLS.EXE’nin güvensiz çağrısını, erişim kontrol listelerini (ACL’ler) değiştirmek için bir yardımcı programı hedefler.
C: \ Windows \ System32 \ ICACLS.EXE’ye giden tam yolu atlayarak, yükleyici yol ortam değişkeni manipülasyonuna karşı savunmasız hale gelir. Yolda daha önce dizinlere yazma erişimi olan bir saldırgan, yükleyicinin Tomcat kurulumu sırasında yürüteceği kötü amaçlı bir ICACLS.Exe yerleştirebilir.
Bu ayrıcalık artış vektörü, yetkisiz hizmet yapılandırma değişikliklerini veya kalıcılık mekanizmalarını mümkün kılabilir.
CVE-2025-49125: Kaynak montajında güvenlik kısıtlaması bypass
CVE-2025-49125 güvenlik açığı, saldırganların web uygulaması kökü dışında yapılandırılmış önceden kaynak ve postesources için kimlik doğrulama ve yetkilendirme kontrollerini atlamasına olanak tanır.
Sorun, Tomcat’ın güvenlik politikalarını uygulamadan önce kaynak yollarını normalleştirememesinden ve URL manipülasyon saldırılarını etkinleştirmesinden kaynaklanmaktadır.
Anında yama gerekli
Kuruluşlar, bu güvenlik açıklarını ele almak için acil güncellemelere öncelik vermelidir. Apache Yazılım Vakfı, etkilenen tüm sürüm dallarında yamalar yayınladı: Apache Tomcat 11.0.8, Apache Tomcat 10.1.42 ve Apache Tomcat 9.0.106.
Bu güncellemeler, konektör yapılandırmasında MaxArtHeadersize (varsayılan 512 bayt) ve MaxPartCount (varsayılan 10 parça) parametreleri dahil olmak üzere yapılandırılabilir sınırlar sunar.
Sistem yöneticileri, tomcat kurulumlarını doğrulamalı ve sunucu.xml dosyasındaki yapılandırma değişikliklerini uygulamalı, özellikle uygulama işlevselliğini korurken kaynak tükenme saldırılarını önlemek için konektör parametrelerini ayarlamalıdır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri