CVE-2025-55754: Apache Tomcat’te Kaçış, Meta veya Kontrol Dizilerinin Uygunsuz Nötrleştirilme… | Microsoft Guvenlik Uyarisi

Aciklama

Apache Tomcat’te Kaçış, Meta veya Kontrol Dizilerinin Uygunsuz Nötrleştirilmesi Güvenlik Açığı.

Tomcat, log mesajlarındaki ANSI kaçış dizilerini (escape sequences) filtrelemiyordu. Tomcat bir Windows işletim sisteminde, ANSI kaçış dizilerini destekleyen bir konsolda çalışıyorsa, bir saldırganın özel olarak hazırlanmış bir URL kullanarak ANSI kaçış dizileri enjekte etmesi, konsolu ve panoyu manipüle etmesi ve bir yöneticiyi saldırganın kontrol ettiği bir komutu çalıştırmaya kandırmaya çalışması mümkündü. Herhangi bir saldırı vektörü bulunamamış olsa da, bu saldırının diğer işletim sistemlerinde gerçekleştirilmesi mümkün olabilirdi.

Bu sorun şu Apache Tomcat sürümlerini etkilemektedir: 11.0.0-M1’den 11.0.10’a kadar, 10.1.0-M1’den 10.1.44’e kadar, 9.0.40’tan 9.0.108’e kadar.

Aşağıdaki sürümler, CVE oluşturulduğu sırada destek ömrünü tamamlamış (EOL) durumdaydı ancak etkilendiği bilinmektedir: 8.5.60’tan 8.5.100’e kadar. Diğer, daha eski, EOL sürümler de etkilenmiş olabilir.
Kullanıcılara, sorunu gideren 11.0.11 veya sonrası, 10.1.45 veya sonrası veya 9.0.109 veya sonrası sürümlere yükseltmeleri önerilir.

Kaynak: https://nvd.nist.gov/vuln/detail/CVE-2025-55754

NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-55754

---

Bu bilgiler yalnizca bilgilendirme amaciyla yayinlanmaktadir. Guncelleme ve yama islemleri icin ureticinin resmi kaynaklarini takip ediniz. firewallpazari.com bu bilgilerin dogrulugundan sorumlu tutulamaz.