Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09499

Опубликовано: 16 июн. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сервера приложений Apache Tomcat, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность защищаемой информации

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Fedora Project
Apache Software Foundation
АО «СберТех»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Server
SUSE Enterprise Storage
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
РОСА ХРОМ
SUSE Liberty Linux
Fedora
OpenSUSE Leap
Red Hat JBoss Web Server
SUSE Linux Enterprise Module for Web Scripting
SUSE Linux Enterprise Server LTSS Extended Security
Tomcat
Platform V SberLinux OS Server
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.3 (SUSE Manager Server)
7.1 (SUSE Enterprise Storage)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12.4 (РОСА ХРОМ)
9 (SUSE Liberty Linux)
8 (SUSE Liberty Linux)
15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (Suse Linux Enterprise Server)
41 (Fedora)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15.6 (OpenSUSE Leap)
5.8 on RHEL 7 (Red Hat JBoss Web Server)
12 SP5-LTSS (Suse Linux Enterprise Server)
9.4 Extended Update Support (Red Hat Enterprise Linux)
15 SP6 (SUSE Linux Enterprise Module for Web Scripting)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)
12 SP5 (SUSE Linux Enterprise Server LTSS Extended Security)
42 (Fedora)
15 SP7 (SUSE Linux Enterprise High Performance Computing)
15 SP7 (Suse Linux Enterprise Server)
15 SP7 (SUSE Linux Enterprise Server for SAP Applications)
10 (Red Hat Enterprise Linux)
от 11.0.0-M1 до 11.0.7 включительно (Tomcat)
от 10.1.0-M1 до 10.1.41 включительно (Tomcat)
от 9.0.0.M1 до 9.0.105 включительно (Tomcat)
8.8 Telecommunications Update Service (Red Hat Enterprise Linux)
8.8 Update Services for SAP Solutions (Red Hat Enterprise Linux)
13 (Debian GNU/Linux)
9.1 (Platform V SberLinux OS Server)
15 SP7 (SUSE Linux Enterprise Module for Web Scripting)
5.8.5 (Red Hat JBoss Web Server)
до 2.14 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Novell Inc. SUSE Liberty Linux 9
Novell Inc. SUSE Liberty Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Fedora Project Fedora 41
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
Fedora Project Fedora 42
Novell Inc. Suse Linux Enterprise Server 15 SP7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7
Red Hat Inc. Red Hat Enterprise Linux 10
Red Hat Inc. Red Hat Enterprise Linux 8.8 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.8 Update Services for SAP Solutions
Сообщество свободного программного обеспечения Debian GNU/Linux 13
АО «СберТех» Platform V SberLinux OS Server 9.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/m66cytbfrty9k7dc4cg6tl1czhsnbywk
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-49125
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-49125
Для Fedora 41:
https://bodhi.fedoraproject.org/updates/FEDORA-2025-c13479f73e
Для Fedora 42:
https://bodhi.fedoraproject.org/updates/FEDORA-2025-fe649d4c6a
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-49125.html
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2982
Обновление программного обеспечения tomcat9 до версии 9.0.107+repack-0+deb11u1.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00058
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250822-05

CVSS3: 7.5
redos
2 месяца назад

Уязвимость tomcat10

redos логотип

ROS-20250822-04

CVSS3: 7.5
redos
2 месяца назад

Уязвимость tomcat

ubuntu логотип

CVE-2025-49125

CVSS3: 7.5
ubuntu
5 месяцев назад

Authentication Bypass Using an Alternate Path or Channel vulnerability in Apache Tomcat.  When using PreResources or PostResources mounted other than at the root of the web application, it was possible to access those resources via an unexpected path. That path was likely not to be protected by the same security constraints as the expected path, allowing those security constraints to be bypassed. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.7, from 10.1.0-M1 through 10.1.41, from 9.0.0.M1 through 9.0.105. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 through 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version 11.0.8, 10.1.42 or 9.0.106, which fix the issue.

redhat логотип

CVE-2025-49125

CVSS3: 3.7
redhat
5 месяцев назад

Authentication Bypass Using an Alternate Path or Channel vulnerability in Apache Tomcat.  When using PreResources or PostResources mounted other than at the root of the web application, it was possible to access those resources via an unexpected path. That path was likely not to be protected by the same security constraints as the expected path, allowing those security constraints to be bypassed. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.7, from 10.1.0-M1 through 10.1.41, from 9.0.0.M1 through 9.0.105. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 through 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version 11.0.8, 10.1.42 or 9.0.106, which fix the issue.

nvd логотип

CVE-2025-49125

CVSS3: 7.5
nvd
5 месяцев назад

Authentication Bypass Using an Alternate Path or Channel vulnerability in Apache Tomcat.  When using PreResources or PostResources mounted other than at the root of the web application, it was possible to access those resources via an unexpected path. That path was likely not to be protected by the same security constraints as the expected path, allowing those security constraints to be bypassed. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.7, from 10.1.0-M1 through 10.1.41, from 9.0.0.M1 through 9.0.105. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 through 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version 11.0.8, 10.1.42 or 9.0.106, which fix the issue.

EPSS

Процентиль: 18%
0.00058
Низкий

7.5 High

CVSS3

7.8 High

CVSS2