Apache Tomcat fino a 9.0.102/10.1.39/11.0.5 HTTP Priority Header negazione del servizio
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
Riassunto
È stata rilevata una vulnerabilità di livello problematico in Apache Tomcat fino a 9.0.102/10.1.39/11.0.5. É interessato una funzione sconosciuta del componente HTTP Priority Header Handler. La manipolazione porta a negazione del servizio. Questa vulnerabilità è conosciuta come CVE-2025-31650. L'attacco può essere lanciato da remoto. Inoltre, è presente un exploit disponibile. Si consiglia di aggiornare il componente interessato.
Dettagli
In Apache Tomcat fino a 9.0.102/10.1.39/11.0.5 è stato trovato un punto critico di livello problematico. Riguarda una funzione sconosciuta del componente HTTP Priority Header Handler. La manipolazione di un input sconosciuto se causa una vulnerabilità di classe negazione del servizio. Con gli effetti bisogna tener conto di la disponibilità.
L'advisory è scaricabile da lists.apache.org. Questa vulnerabilità è identificata come CVE-2025-31650. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.
L'exploit è scaricabile da exploit-db.com. È stato dichiarato come prova di concetto. È disponibile un plugin per lo scanner Nessus, numero ID 235034 (Apache Tomcat 9.0.0.M1 < 9.0.104 multiple vulnerabilities), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 9.0.104, 10.1.40 o 11.0.6 elimina questa vulnerabilità.
La vulnerabilità è documentata anche nel database Exploit-DB (52318), Tenable (235034), EUVD (EUVD-2025-13627) e CERT Bund (WID-SEC-2025-0895). Once again VulDB remains the best source for vulnerability data.
Componente colpito
- IBM Security Guardium
- Debian Linux
- Amazon Linux 2
- IBM Power Hardware Management Console
- Red Hat Enterprise Linux
- Ubuntu Linux
- SUSE Linux
- Red Hat JBoss Web Server
- Oracle Linux
- RESF Rocky Linux
- Atlassian Confluence
- Apache Tomcat
- Atlassian Bamboo
- IBM Integration Bus
- Atlassian Jira
- Trellix ePolicy Orchestrator
- HCL Commerce
- Dell NetWorker
- SAS Institute Base SAS
Prodotto
Genere
Fornitore
Nome
Versione
- 9.0.102
- 10.1.0
- 10.1.1
- 10.1.2
- 10.1.3
- 10.1.4
- 10.1.5
- 10.1.6
- 10.1.7
- 10.1.8
- 10.1.9
- 10.1.10
- 10.1.11
- 10.1.12
- 10.1.13
- 10.1.14
- 10.1.15
- 10.1.16
- 10.1.17
- 10.1.18
- 10.1.19
- 10.1.20
- 10.1.21
- 10.1.22
- 10.1.23
- 10.1.24
- 10.1.25
- 10.1.26
- 10.1.27
- 10.1.28
- 10.1.29
- 10.1.30
- 10.1.31
- 10.1.32
- 10.1.33
- 10.1.34
- 10.1.35
- 10.1.36
- 10.1.37
- 10.1.38
- 10.1.39
- 11.0.0
- 11.0.1
- 11.0.2
- 11.0.3
- 11.0.4
- 11.0.5
Licenza
Sito web
- Fornitore: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 6.4VulDB Punteggio meta temporaneo: 6.1
VulDB Punteggio di base: 5.3
VulDB Punteggio temporaneo: 4.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 7.5
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Negazione del servizioCWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Scaricare: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 235034
Nessus Nome: Apache Tomcat 9.0.0.M1 < 9.0.104 multiple vulnerabilities
Exploit-DB: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔍
Aggiornamento: Tomcat 9.0.104/10.1.40/11.0.6
Sequenza temporale
31/03/2025 🔍28/04/2025 🔍
28/04/2025 🔍
13/12/2025 🔍
Fonti
Fornitore: apache.orgAvis: lists.apache.org
Stato: Confermato
CVE: CVE-2025-31650 (🔍)
GCVE (CVE): GCVE-0-2025-31650
GCVE (VulDB): GCVE-100-306420
EUVD: 🔍
CERT Bund: WID-SEC-2025-0895 - Apache Tomcat: Mehrere Schwachstellen
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 28/04/2025 21:34Aggiornato: 13/12/2025 04:47
Cambiamenti: 28/04/2025 21:34 (56), 01/05/2025 06:40 (2), 15/05/2025 06:58 (1), 13/06/2025 23:54 (11), 17/07/2025 14:01 (7), 07/08/2025 15:00 (12), 10/08/2025 21:37 (1), 13/12/2025 04:47 (1)
Completa: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.