Teils kritische Sicherheitslücken in Apache Tomcat
- Warnmeldung
Die CSBW warnt vor teils kritischen Schwachstellen in Apache Tomcat. Die Apache Software Foundation stellt abgesicherte Versionen zur Verfügung.
© Игорь Головнёв – stock.adobe.com
Gepatchte Versionen schließen die Lücken
Die Apache Software Foundation veröffentlichte am 27. Oktober 2025 drei Warnmeldungen zu den folgenden Sicherheitslücken in Apache Tomcat:
- CVE-2025-55754 mit CVSS-Score 9.6/10 ermöglicht Angreifenden, mittels manipulierter URLs die Anzeige oder das Verhalten der Konsole auf Windows-Systemen zu beeinflussen. Folgende Versionen sind von der Schwachstelle betroffen:
- Apache Tomcat 11.0.0-M1 bis 11.0.10
- Apache Tomcat 10.1.0-M1 bis 10.1.44
- Apache Tomcat 9.0.0.40 bis 9.0.108
- CVE-2025-55752 mit CVSS-Score 7.5/10 ermöglicht Angreifenden Path-Traversal-Angriffe. Folgende Versionen sind von der Schwachstelle betroffen:
- Apache Tomcat 11.0.0-M1 bis 11.0.10
- Apache Tomcat 10.1.0-M1 bis 10.1.44
- Apache Tomcat 9.0.0.M11 bis 9.0.108
- CVE-2025-61795 mit einem CVSS-Score von 5.3/10 ermöglicht das Herbeiführen eines Denial-of-Service-Zustands (DoS). Folgende Versionen sind von der Schwachstelle betroffen:
- Apache Tomcat 11.0.0-M1 bis 11.0.11
- Apache Tomcat 10.1.0-M1 bis 10.1.46
- Apache Tomcat 9.0.0.M1 bis 9.0.109
Die Apache Software Foundation stellt folgende Tomcat-Versionen bereit, die die Lücken beheben:
- 11.0.12
- 10.1.47
- 9.0.110
Empfehlung
Installieren Sie umgehend eine der folgenden Apache-Tomcat-Versionen:
- 11.0.12
- 10.1.47
- 9.0.110