Apache Tomcat 公布了多个安全漏洞(CVE-2025-49124、CVE-2025-49125)
Apache Tomcat 公布了多个安全漏洞(CVE-2025-49124、CVE-2025-49125)
【漏洞影响】
Windows 版 Tomcat 安装程序在加载 icacls.exe 时可能发生 DLL 旁加载(DLL Sideloading)。(CVE-2025-49124)
如果 PreResources 或 PostResources 被配置在 Web 应用的根目录之外,可能会被用来绕过 Tomcat 的安全约束。(CVE-2025-49125)
【参考资料(外部链接)】
IPA(日本信息处理推进机构):
JVN(日本脆弱性信息门户):JVN: CVE-2025-49124、CVE-2025-49125
https://jvn.jp/vu/JVNVU92268925/
【影响范围】
SVF产品不受该漏洞影响。
invoiceAgent・SPA产品不受该漏洞影响。
Dr.Sum产品不受该漏洞影响。
MotionBoard产品不受该漏洞影响。
Related Articles
关于Apache Tomcat漏洞(CVE-2024-21733)
产品 SVF invoiceAgent(原SPA) Dr.Sum MotionBoard 内容 Apache Tomcat 中发现信息泄露漏洞(CVE-2024-21733)。由于coyote/http11/Http11InputBuffer.java中在抛出CloseNowException异常后没有重置缓冲区位置和限制,威胁者可发送不完整的POST请求触发错误响应,从而可能导致获取其他用户先前请求的数据。 影响范围 Apache Tomcat 9.0.0-M11 至 9.0.43 ...
关于Apache Tomcat漏洞(CVE-2023-46589)
产品:SVF、invoiceAgent(旧SPA)、Dr.Sum、MotionBoard 内容 Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。 【受漏洞影响的Tomcat版本】 Apache Tomcat ...
关于 Apache Tomcat 漏洞(CVE-2023-45648、CVE-2023-44487、CVE-2023-42795、CVE-2023-42794 )
产品: SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard 内容 Apache Software Foundation 提供的 Apache Tomcat 中发现了多个漏洞。 HTTP Trailer header不能正常解析的问题 - CVE-2023-45648 Tomcat HTTP/2 快速重置攻击拒绝服务漏洞 - CVE-2023-44487 Tomcat信息泄露漏洞 - CVE-2023-42795 Apache Tomcat拒绝服务漏洞 - ...
关于Apache Tomcat 漏洞(CVE-2022-45143等)
产品 · SVF · invoiceAgent (旧SPA) · MotionBoard · Dr.Sum 在 Apache Software Foundation 提供的 Apache Tomcat 中发现了以下漏洞。 JsonErrorReportValve 类由于未对用户可控的类型(type)、消息(message)或描述(description)值进行转义,在 Tomcat 处理用户请求时,如果调用序列中的 Valve ...
Apache Tomcat Apache Commons FileUpload 拒绝服务 (DoS) 漏洞(CVE-2023-24998 等)
相关机构披露了 Apache Tomcat 中的漏洞。 参考资料(外部网站): Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998) 产品 · SVF · invoiceAgent(SPA) · MotionBoard · Dr.Sum(Dr.Sum EA) SVF产品的影响 影响范围: · SVF 10.x:版本 10.0 至 10.2 · SVF 9.2:无 SP 到 SP10 应对方针: · 如果您在属性文件 ...