Sintesi
Rilevate 2 vulnerabilità di sicurezza con gravità “critica”, nel noto server web open source sviluppato da Apache Software Foundation. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui dispositivi target.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (75.38)
Tipologia
- Remote Code Execution
Prodotti e versioni affette
Apache Tomcat
- 9.x, dalla versione 9.0.0-M1 alla 9.0.97
- 10.x, dalla versione 10.1.0-M1 alla 10.1.33
- 11.x, dalla versione 11.0.0-M1 alla 11.0.1
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
https://lists.apache.org/thread/2bjnh3p78b89n5hw539hh31sr7tt7m22
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
