CVE-2025-55752 et CVE-2025-55754 : Vulnérabilités dans Apache Tomcat exposent les serveurs à des attaques RCE
Table des matières :
En mars 2025, CVE-2025-24813 a servi de rappel brutal de la rapidité avec laquelle une vulnérabilité critique d’Apache Tomcat peut devenir une menace active. Moins de 30 heures après sa divulgation, des attaquants exploitaient déjà une désérialisation non sécurisée pour exécuter du code à distance, prenant le contrôle de serveurs non corrigés. Maintenant, quelques mois plus tard, un duo de nouvelles vulnérabilités (CVE-2025-55752, CVE-2025-55754) a été mis en lumière, ouvrant à nouveau la voie à des attaques RCE.
Apache Tomcat est un conteneur de servlets Java open-source gratuit qui héberge des applications web basées sur Java et implémente les spécifications Java Servlet et JavaServer Pages (JSP). Il alimente des centaines de milliers de sites Web et de systèmes d’entreprise dans le monde entier, y compris des agences gouvernementales, de grandes entreprises et des infrastructures critiques. Cependant, une telle utilisation répandue des logiciels open-source soulève une sérieuse inquiétude. Selon le rapport 2025 Open Source Security and Risk Analysis (OSSRA), 86% des bases de code commerciales évaluées contenaient des vulnérabilités de logiciels open-source, et 81% d’entre elles contenaient des vulnérabilités à haut ou à risque critique.
Inscrivez-vous sur la plateforme SOC Prime pour accéder au flux mondial de menaces actives, qui offre des renseignements en temps réel sur les cybermenaces et des algorithmes de détection personnalisés pour aborder les menaces émergentes, telles que les failles dans les logiciels open-source. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et mappées sur le framework MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies des attaques, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Appuyez sur le bouton Explore Detections pour voir l’ensemble complet de détections pour une défense proactive contre les vulnérabilités critiques filtrées par le tag « CVE ».
De plus, les experts en sécurité peuvent rationaliser l’investigation des menaces en utilisant Uncoder AI, un IDE privé et co-pilote pour l’ingénierie de détection informée par la menace. Générez des algorithmes de détection à partir de rapports de menace bruts, activez des balayages IOC rapides, prédisez des tags ATT&CK, optimisez le code de requête avec des conseils d’IA, et traduisez-le à travers plusieurs langages SIEM, EDR et Data Lake.
Analyse de CVE-2025-55752 et CVE-2025-55754
Le 27 octobre 2025, la Fondation Apache Software a confirmé deux nouvelles vulnérabilités affectant les versions 9, 10 et 11 d’Apache Tomcat.
Des deux nouvelles failles signalées, CVE-2025-55752 est considérée comme la plus grave, obtenant une cote « Importante ». Cette vulnérabilité a émergé d’une régression lors de la résolution d’un bug précédent (bug 60013) et permet aux attaquants d’exploiter une traversée de répertoire via des URL réécrites. En confectionnant des URI de requête normalisés avant décodage, des acteurs malveillants peuvent potentiellement contourner les protections intégrées de Tomcat pour les répertoires critiques, y compris /WEB-INF/ and /META-INF/. Le risque s’accroît si les requêtes HTTP PUT sont activées, car les attaquants pourraient télécharger des fichiers malveillants, pouvant potentiellement conduire à une exécution de code à distance sur le serveur. Cependant, dans la plupart des configurations de production, les requêtes PUT sont limitées aux utilisateurs de confiance, ce qui réduit la probabilité d’exploitation immédiate.
La deuxième faille, CVE-2025-55754, porte une cote de gravité « Faible » mais reste notable. Elle provient de la gestion inadéquate par Tomcat des séquences d’échappement ANSI dans les journaux de console. Lorsqu’il s’exécute dans un environnement console (particulièrement sur les systèmes Windows), les attaquants peuvent envoyer des URL spécialement conçues qui injectent des séquences d’échappement dans la sortie du journal. Ces séquences peuvent manipuler l’affichage de la console ou le contenu du presse-papiers, créant des opportunités pour tromper les administrateurs afin qu’ils exécutent des actions non désirées. Bien que principalement observé sur Windows, des vecteurs d’attaque similaires pourraient exister sur d’autres plateformes, élargissant l’impact potentiel de cette vulnérabilité.
Atténuation de CVE-2025-55752 et CVE-2025-55754
Les vulnérabilités impactent les versions 11.0.0-M1 à 11.0.10, 10.1.0-M1 à 10.1.44, et 9.0.0-M11 à 9.0.108 d’Apache Tomcat, ainsi que certaines versions EOL comme 8.5.60 à 8.5.100.
Pour résoudre ces problèmes, les administrateurs devraient mettre à jour vers les versions corrigées—Tomcat 11.0.11, 10.1.45, et 9.0.109—et vérifier toutes les instances déployées pour s’assurer qu’aucune version affectée n’est en usage.
Des mesures d’atténuation supplémentaires incluent la désactivation ou la restriction des requêtes HTTP PUT sauf si strictement nécessaire, la révision des configurations de console et de journalisation (notamment sur les systèmes Windows), et la surveillance active des activités inhabituelles, telles que les téléchargements de fichiers inattendus ou les entrées de journal suspectes. En prenant ces mesures, les organisations peuvent réduire significativement le risque d’exploitation et maintenir la sécurité et la stabilité de leurs applications web et infrastructures critiques.
Améliorer les stratégies de défense proactive contre les cybermenaces est crucial pour que les organisations réduisent de manière efficace et rapide les risques d’exploitation des vulnérabilités. En tirant parti de la suite complète de produits SOC Prime pour une protection de sécurité prête pour l’entreprise soutenue par des experts en cybersécurité de renommée et l’IA, et construite sur les étapes clés du modèle zero-trust , les organisations mondiales peuvent sécuriser leurs défenses à grande échelle et renforcer leur posture en cybersécurité.
