Bulletin de sécurité Apache Tomcat (AV25-702)

Numéro de série : AV25-702
Date : 28 octobre 2025

Le 27 octobre 2025, Apache a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

• Apache Tomcat – de la version 11.0.0-M1 à 11.0.10;
• Apache Tomcat – de la version 10.1.0-M1 à 10.1.44;
• Apache Tomcat – de la version 9.0.0.M11 à 9.0.108;
• Apache Tomcat – de la version 9.0.0.40 à 9.0.108.
• Les versions plus anciennes, en fin de vie, peuvent aussi être affectées.

Le Centre pour la cybersécurité est conscient qu'une preuve de concept (PoC) pour la vulnérabilité CVE-2025-55752 existe publiquement.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci-dessous et d’appliquer les mises à jour nécessaires.

• [SECURITY] CVE-2025-55754 Apache Tomcat - Console manipulation via escape sequences in log messages (en anglais seulement)
• [SECURITY] CVE-2025-55752 Apache Tomcat - Directory traversal via rewrite with possible RCE if PUT is enabled (en anglais seulement)