Sintesi
Rilevate 3 vulnerabilità di sicurezza, di cui una con gravità “critica”, nel noto server web open source sviluppato da Apache Software Foundation. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato il bypass dei meccanismi di autenticazione sui dispositivi target.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,41/100)1.
Tipologia
- Authentication Bypass
Prodotti e versioni affette
Apache Tomcat
- 9.x, dalla versione 9.0.0-M1 alla 9.0.95
- 10.x, dalla versione 10.1.0-M1 alla 10.1.30
- 11.x, dalla versione 11.0.0-M1 alla 11.0.0-M26
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:
Riferimenti
https://lists.apache.org/thread/lopzlqh91jj9n334g02om08sbysdb928
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-11.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
