Apache Tomcat je ispravio tri kritične ranjivosti usmjerenih na uskraćivanje usluge (DoS) koje bi mogle omogućiti zlonamjernim akterima da ometaju web aplikacije i servise.
Ovi sigurnosni propusti, označeni kao CVE-2025-52434, CVE-2025-52520 i CVE-2025-53506, pogađaju sve verzije Apache Tomcata od 9.0.0.M1 do 9.0.106.
Ranljivosti iskorištavaju različite vektore napada, uključujući slabosti u HTTP/2 protokolu, mehanizme za upload datoteka i mogućnosti upravljanja streamovima.
Ključne informacije:
1. CVE-2025-52434, CVE-2025-52520 i CVE-2025-53506 pogađaju Apache Tomcat verzije od 9.0.0.M1 do 9.0.106, omogućujući daljinske napade uskraćivanjem usluge.
2. Eksploatacije ciljaju HTTP/2 protokol s APR/Native konektorom, integer overflow u uploadu datoteka i pretjerano kreiranje HTTP/2 streamova.
3. Sve ranjivosti su zakrpane kroz specifične commitove koji implementiraju odgovarajuću validaciju i ograničenja resursa.
4. Neophodno je hitno ažuriranje na verziju 9.0.107 jer eksploatacije ne zahtijevaju autentifikaciju.
Organizacije koje koriste pogođene verzije trebaju hitno ažurirati na Apache Tomcat 9.0.107 kako bi ublažile ove sigurnosne rizike i spriječile potencijalna ometanja usluga.
Ranljivost u HTTP/2 i APR/Native konektoru (CVE-2025-52434)
Prva ranjivost, CVE-2025-52434, predstavlja kritičan propust u implementaciji HTTP/2 u Apache Tomcatu kada se koristi s APR/Native konektorom. Ova ranjivost omogućava napadačima da izazovu uskraćivanje usluge iskorištavanjem slabosti u mehanizmima rukovanja HTTP/2 protokolom. APR/Native konektor, koji nudi poboljšane performanse kroz integraciju sa sistemskim bibliotekama, postaje podložan napadima iscrpljivanja resursa prilikom obrade neispravnih ili pretjeranih HTTP/2 zahtjeva. Sigurnosni tim je riješio ovaj problem putem commit ID-a 8a83c3c4, koji implementira pravilnu validaciju i upravljanje resursima za HTTP/2 konekcije. Sistemski administratori koji koriste APR/Native konektore s omogućenim HTTP/2 trebaju dati prioritet ovom ažuriranju, jer se ranjivost može iskoristiti daljinski bez potrebe za autentifikacijom. Uvođenjem strožih provjera granica i upravljanja životnim ciklusom konekcija sprječavaju se scenariji iscrpljivanja resursa.
Integer Overflow u Uploadu Datoteka (CVE-2025-52520)
CVE-2025-52520 iskorištava uvjete integer overflowa u mehanizmu za obradu upload datoteka Apache Tomcata. Napadači mogu kreirati zlonamjerne multipart/form-data zahtjeve sa posebno oblikovanim Content-Length headerima koji izazivaju integer overflow ranjivosti, potencijalno zaobilazeći ograničenja veličine datoteka i uzrokujući iscrpljivanje memorije. Ova ranjivost pogađa aplikacije koje rukuju uploadom datoteka putem servlet kontejnera. Ispravka, implementirana u commit ID-u 927d66fb, uvodi robusnu validaciju ulaznih podataka i pravilno provjeravanje granica integera za operacije upload datoteka. Ovo rješenje osigurava da se parametri maxRequestSize i maxFileSize pravilno validiraju prije obrade, sprječavajući uvjete overflowa koji bi mogli dovesti do neograničene alokacije memorije. Web aplikacije s funkcionalnošću upload datoteka trebale bi implementirati dodatne slojeve validacije na nivou aplikacije kao strategiju obrane u dubinu.
Pretjerani HTTP/2 Streamovi (CVE-2025-53506)
Treća ranjivost, CVE-2025-53506, omogućava napadačima da preopterete Apache Tomcat servere kreiranjem pretjeranog broja HTTP/2 streamova unutar jedne konekcije. Ovaj vektor napada iskorištava značajku multipleksiranja HTTP/2, gdje se više streamova može obrađivati istovremeno preko jedne TCP konekcije. Zlonamjerni klijenti mogu brzo kreirati brojne streamove, iscrpljujući memoriju servera i resurse za obradu. Commit ID 43477293 rješava ovu ranjivost implementacijom pravilnih ograničenja broja streamova i politika upravljanja resursima. Ovo rješenje uvodi konfigurabilne parametre za maksimalni broj istovremenih streamova po konekciji i implementira mehanizme za postepeno smanjenje opterećenja kada se približavaju granice. Mrežni administratori bi trebali konfigurisati odgovarajuće vrijednosti za maxConcurrentStreams i nadzirati obrasce HTTP/2 konekcija kako bi otkrili potencijalnu zloupotrebu.
Organizacije koje koriste pogođene verzije Apache Tomcata trebale bi odmah ažurirati na verziju 9.0.107 i pregledati svoje sigurnosne konfiguracije kako bi ublažile ove kritične ranjivosti.
Sigurnosna firma SlowMist izdala je upozorenje putem svoje službene web stranice i na platformi X (ranije poznatoj kao Twitter) u vezi sa sve većim brojem sofisticiranih prevara koje ciljaju članove kripto zajednice. Prevaranti koriste naljepnice s lažnim QR kodovima koje lijepe preko originalnih na lokacijama koje često posjećuju kripto entuzijasti, kao što su izložbe, konferencije i mjesta javnog pristupa. Ove zlonamjerne QR kodove obično usmjeravaju žrtve na lažne web stranice koje imitiraju legitimne kripto servise, kao što su mjenjačnice ili novčanici.
Metodologija ovih napada je da se iskoristi povjerenje korisnika u fizički prostor i legitimnost lokacije na kojoj se QR kod nalazi. Korisnici koji skeniraju ove lažne kodove često bivaju preusmjereni na stranice koje izgledaju identično pravima, tražeći od njih da unesu svoje privatne ključeve, lozinke ili da odobre transakcije. Prevaranti uspijevaju učiniti ove lažne stranice uvjerljivim tako što precizno kopiraju dizajn, logotipe i čak URL strukturu originalnih servisa, te često koriste tehnike socijalnog inženjeringa u kombinaciji s ovim vizuelnim prijevarama. Na primjer, mogu prikazati lažna obavještenja o potrebi hitne provjere računa ili ponuditi privremene bonuse kako bi podstakli žrtve na brzu akciju bez detaljnijeg provjeravanja. Jedan od konkretnih scenarija uključuje lijepljenje lažnih QR kodova preko onih na parkiranim skuterima ili javnim Wi-Fi točkama u blizini kripto događanja. Kada korisnik pokuša skenirati kod kako bi platio uslugu ili se povezao na mrežu, biva preusmjeren na stranicu gdje se od njega traži da unese svoje podatke ili izvrši uplatu u kriptovaluti. Ovakvi napadi ciljaju ne samo nepažljive korisnike već i one koji su tek upoznati s decentralizovanim finansijama, koristeći njihovo nerazumijevanje i povjerenje u legitimnost ponuđenih kodova. Upozorenje SlowMist-a naglašava važnost provjeravanja autentičnosti QR kodova prije skeniranja, posebno u javnim prostorima, te nikada ne dijeljenja osjetljivih informacija kao što su privatni ključevi ili lozinke.