更新時間:2025/06/19 09:22:01
發佈時間:2025/06/19 09:22:01
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1-3]
Apache Tomcat存在一個高風險輸入驗證不當漏洞(CVE-2025-31650),其在處理某些無效的 HTTP 優先權標頭 (HTTP priority headers) 時出現錯誤,導致記憶體釋放不完全,並使失敗請求佔用的記憶體無法正確釋放。當攻擊者大量發送此類特製的請求時,將持續耗盡伺服器的記憶體資源,導致造成服務阻斷 (Denial of Service, DoS)。
二、已揭露攻擊程式碼說明
Exploit-DB已有相關PoC程式碼[4]。
▶ 漏洞資訊
⌵
名稱:
CVSS向量: CVE-2025-31650[5]
描述:
使用版本:CVSS 3.1
分析分數:7.5
參考來源: NVD
▶ 影響平台
⌵
影響平台-系統:
Apache Tomcat 9.0.76 至 9.0.102,修補於9.0.104或更新。
Apache Tomcat 10.1.10 至 10.1.39,修補於10.1.40或更新。
Apache Tomcat 11.0.0-M2 至 11.0.5,修補於11.0.6或更新。
▶ 建議措施
⌵
1.官方已發布相關更新程式,建議會員參考官網資訊後依照單位內既有漏洞管理機制,評估後執行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://tomcat.apache.org/security-9.html | Apache |
| 2 | https://tomcat.apache.org/security-10.html | Apache |
| 3 | https://tomcat.apache.org/security-11.html | Apache |
| 4 | https://www.exploit-db.com/exploits/52318 | Exploit-DB |
| 5 | https://nvd.nist.gov/vuln/detail/CVE-2025-31650 | NVD |
情資編號:
FISAC-200-202506-0002
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞