Apache Yazılım Vakfı, Apache Tomcat’in birden fazla sürümünü etkileyen iki güvenlik açığını açıkladı; bir kusur, savunmasız sunucularda uzaktan kod yürütülmesi açısından ciddi bir risk oluşturuyor.
Kusurlar Apache Tomcat’in 9, 10 ve 11 sürümlerini etkileyerek yöneticilerin kurulumlarını hemen yükseltmeleri için acil uyarılara yol açıyor.
| CVE Kimliği | Güvenlik Açığı | Şiddet | CVSS Puanı |
| CVE-2025-55752 | PUT etkinse olası RCE ile yeniden yazma yoluyla dizin geçişi | Önemli | Yok |
| CVE-2025-55754 | Günlük mesajlarındaki kaçış dizileri yoluyla konsol manipülasyonu | Düşük | Yok |
Kritik Dizin Geçiş Kusuru RCE’yi Etkinleştiriyor
CVE-2025-55752 olarak takip edilen ve “Önemli” önem derecesi olarak derecelendirilen en ciddi güvenlik açığı, önceki bir hata düzeltilirken uygulanan bir gerilemeden kaynaklanıyor.
Bu dizin geçiş kusuru, saldırganların, kodu çözülmeden önce normalleştirilen yeniden yazılan URL’ler aracılığıyla istek URI’lerini değiştirmesine olanak tanır.
Güvenlik açığı özellikle sorgu parametrelerini değiştiren yeniden yazma kurallarını etkileyerek saldırganların /WEB-INF/ ve /META-INF/ gibi hassas dizinleri korumak için tasarlanan kritik güvenlik kısıtlamalarını atlamasına olanak tanıyor.
Asıl tehlike, etkilenen sunucularda PUT istekleri etkinleştirildiğinde ortaya çıkıyor. Bu senaryoda, saldırganlar kötü amaçlı dosyaları sunucuya yüklemek için dizin geçiş zayıflığından yararlanabilir ve sonuçta uzaktan kod yürütmeyi başarabilir.
Ancak güvenlik uzmanları, PUT isteklerinin genellikle güvenilir kullanıcılarla sınırlı olduğunu ve bu durumun üretim ortamlarında istismar senaryosunun daha az yaygın olduğunu belirtiyor.
Güvenlik açığı, CyCraft Technology’den güvenlik araştırmacısı Chumy Tsai tarafından keşfedildi ve Apache Tomcat’in 11.0.0-M1 ila 11.0.10, 10.1.0-M1 ila 10.1.44 ve 9.0.0.M11 ila 9.0.108 sürümlerini etkiliyor.
Kaçış Dizileri Yoluyla Konsol Manipülasyonu
İkinci güvenlik açığı olan CVE-2025-55754, daha düşük önem derecesine sahiptir ancak yine de güvenlik endişeleri taşımaktadır.
Bu kusur, Apache Tomcat’in günlük iletilerindeki ANSI kaçış dizilerinden düzgün bir şekilde çıkamamasından kaynaklanmaktadır.
Tomcat, ANSI kaçış dizilerini destekleyen Windows sistemlerinde bir konsol ortamında çalıştığında, saldırganlar günlük çıktılarına kötü amaçlı kaçış dizileri enjekte etmek için özel olarak tasarlanmış URL’ler oluşturabilir.
Enjekte edilen bu diziler, konsol ekranını ve pano içeriğini manipüle edebilir ve potansiyel olarak sistem yöneticilerini saldırgan tarafından kontrol edilen komutları çalıştırmaya kandırabilir.
Öncelikle Windows platformlarında gözlemlenen araştırmacılar, benzer saldırı vektörlerinin diğer işletim sistemlerinde de bulunabileceği konusunda uyarıyor.
Güvenlik açığı, MOBIA Technology Innovations’tan Elysee Franchuk tarafından tespit edildi ve Apache Tomcat 9, 10 ve 11 serisindeki benzer sürüm aralıklarını etkiliyor.
Apache, her iki güvenlik açığını da gidermek için yamalı sürümler yayımladı. Etkilenen Tomcat kurulumlarını çalıştıran kuruluşlar, dağıtımlarına bağlı olarak derhal 11.0.11, 10.1.45 veya 9.0.109 sürümüne yükseltme yapmalıdır.
Güvenlik güncellemeleri 27 Ekim 2025’te duyuruldu ve etkilenen her sürüm serisi için Apache’nin resmi güvenlik önerileri aracılığıyla ayrıntılı azaltma kılavuzuna ulaşılabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.