Apache Yazılım Vakfı, çok sayıda web uygulamasını destekleyen, yaygın olarak kullanılan açık kaynaklı bir Java sunucu uygulaması taşıyıcısı olan Apache Tomcat’teki kritik kusurları vurguladı.
27 Ekim 2025’te Apache, Tomcat’in birden fazla sürümünü etkileyen CVE-2025-55752 ve CVE-2025-55754 adlı iki güvenlik açığını açıkladı.
Birincisi belirli yapılandırmalar altında uzaktan kod yürütme (RCE) riski oluştururken, ikincisi potansiyel konsol manipülasyonuna olanak tanıyarak kurumsal ortamlarda anında yama uygulama ihtiyacını vurguluyor.
Bu sorunlar, sunucuları yetkisiz erişime ve kontrole maruz bırakma potansiyeline sahip olan gerilemelerden ve kaçışsız dizilerden kaynaklanmaktadır.
Dizin Geçiş Kusuru RCE’yi Etkinleştiriyor
Daha ciddi güvenlik açığı olan CVE-2025-55752, daha önceki bir soruna yönelik düzeltmede sunulan bir dizin geçiş hatasını içermektedir (hata 60013).
Bu regresyonda, yeniden yazılan URL’ler kod çözme işleminden önce normalleştirilir, böylece saldırganların sorgu parametrelerini değiştirmesine ve /WEB-INF/ ve /META-INF/ gibi hassas dizinlere yönelik korumaları atlamasına olanak sağlanır.
PUT istekleri etkinleştirilirse (genellikle güvenilir kullanıcılarla sınırlı bir yapılandırma), kötü amaçlı dosyalar yüklenebilir ve bu da RCE’ye yol açabilir.
CyCraft Technology’den Chumy Tsai tarafından keşfedilen bu kusur, Önemli önem derecesi olarak derecelendirildi ve Tomcat’i üretimde çalıştıran yama yapılmamış sistemler üzerindeki potansiyel etkisi vurgulandı.
Etkilenen sürümler arasında Apache Tomcat 11.0.0-M1 ila 11.0.10, 10.1.0-M1 ila 10.1.44 ve 9.0.0-M11 ila 9.0.108 bulunmaktadır; eski kullanım ömrü sonu (EOL) sürümleri de savunmasızdır.
Teknik özellikler, yanlışlıkla yol manipülasyonuna izin veren, normalleştirme sırasını istismar eden ve güvenlik kısıtlamalarından kaçınmak için kod çözme süreçlerini kullanan URL yeniden yazma kuralları etrafında dönüyor.
| CVE Kimliği | Şiddet | Etkilenen Sürümler | CVSS Puanı | Teknik Açıklama | Kredi |
|---|---|---|---|---|---|
| CVE-2025-55752 | Önemli | 11.0.0-M1 ila 11.0.10 10.1.0-M1 ila 10.1.44 9.0.0.M11 ila 9.0.108 |
Yok (Önemli) | Kod çözme öncesinde yeniden yazılan URL normalleştirme yoluyla dizin geçişi; PUT etkinse dosya yüklemeyi ve RCE’yi etkinleştirir. /WEB-INF/ ve /META-INF/ korumalarını atlar. | Chumy Tsai (CyCraft) listeleri.apache |
Günlük Kaçışları Yoluyla Konsol Manipülasyonu
Geçiş sorununa ek olarak CVE-2025-55754, Tomcat’in günlük mesajlarındaki ANSI kaçış dizilerinin uygunsuz şekilde nötrleştirilmesini de ele alıyor.
ANSI destekli konsollara sahip Windows sistemlerinde saldırganlar, konsol ekranını ve panoyu manipüle eden dizileri enjekte etmek için URL’ler oluşturabilir ve hatta yöneticileri komutları yürütmeleri için kandırabilirler.
Diğer işletim sistemleri için doğrudan bir saldırı vektörü belirlenmemiş olsa da, sosyal mühendislik potansiyeli endişe kaynağı olmaya devam ediyor. Düşük önem derecesine sahip bu kusur, Tomcat 11.0.0-M1 – 11.0.10, 10.1.0-M1 – 10.1.44 ve 9.0.0.40 – 9.0.108’in yanı sıra 8.5.60 – 8.5.100 gibi belirli EOL sürümlerini etkiler.
MOBIA Technology Innovations’tan Elysee Franchuk tarafından tanımlanan sorun, kontrol dizilerinin kimlik doğrulama olmadan terminal davranışını etkilemesine izin veren, çıkış yapılmamış günlüklerden kaynaklanıyor.
| CVE Kimliği | Şiddet | Etkilenen Sürümler | CVSS Puanı | Teknik Açıklama | Kredi |
|---|---|---|---|---|---|
| CVE-2025-55754 | Düşük | 11.0.0-M1 ila 11.0.10 10.1.0-M1 ila 10.1.44 9.0.0.40 ila 9.0.108 |
Yok (Düşük) | Günlüklerdeki çıkış yapılmamış ANSI dizileri, Windows’ta konsol/pano manipülasyonuna olanak sağlar; hazırlanmış URL’ler yoluyla potansiyel komut hilesi. | Elysee Franchuk (MOBIA) listeleri.apache |
Uzmanlar, daha az kritik olmakla birlikte, bunu diğer kusurlarla birleştirmenin, konsolla izlenen kurulumlardaki tehditleri artırabileceğini belirtiyor.
Azaltmalar
Apache, kullanıcıları hafifletilmiş sürümlere yükseltmeye teşvik ediyor: Tomcat 11.0.11, 10.1.45 veya 9.0.109 ve üzeri, gelişmiş URL işleme ve günlükten kaçış yoluyla her iki güvenlik açığını da giderir.
Kuruluşlar, RCE zincirlerini önlemek için, özellikle yeniden yazma işlemlerinin yanı sıra PUT isteklerini de etkinleştiren yapılandırmaları denetlemelidir. Tomcat’in Java tabanlı uygulamalardaki yaygınlığı göz önüne alındığında, yama uygulanmamış örnekler, CVE-2025-24813 gibi daha önceki istismarları hatırlatan hedefli saldırılarla karşı karşıya kalabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
