- شناسه CVE-2025-46701 :CVE
- CWE-178 :CWE
- yes :Advisory
- منتشر شده: می 29, 2025
- به روز شده: می 29, 2025
- امتیاز: 7.3
- نوع حمله: Unknown
- اثر گذاری: Bypass
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Apache
- محصول: Apache Tomcat
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در نحوهی پردازش حروف بزرگ و کوچک درکامپوننت GCI servlet نرمافزار Apache Tomcat شناسایی شده است که به مهاجم اجازه میدهد با استفاده از یک URL ساختگی، از محدودیتهای امنیتی اعمالشده بر مسیر pathInfo عبور کند.
توضیحات
در نسخههای آسیبپذیر Apache Tomcat، در صورتی که سیستم فایل از نوع case insensitive باشد و محدودیتهای امنیتی بر اساس بخش pathInfo از URL تعریف شده باشند، مهاجم میتواند با تغییر حروف بزرگ و کوچک در URL، این محدودیتها را دور بزند. این آسیب پذیری به علت عدم تطابق صحیح حروف در مسیرها رخ داده و به مهاجم امکان دسترسی غیرمجاز به منابع محدودشده را میدهد.
CVSS
| Score | Severity | Version | Vector String |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 11.0.0-M1 through 11.0.6 | Apache Tomcat |
| affected from 10.1.0-M1 through 10.1.40 | Apache Tomcat |
| affected from 9.0.0.M1 through 9.0.104 | Apache Tomcat |
لیست محصولات بروز شده
| Versions | Product |
| 11.0.7 | Apache Tomcat |
| 10.1.41 | Apache Tomcat |
| 9.0.105 | Apache Tomcat |
نتیجه گیری
به کاربران توصیه میشود هرچه سریعتر نسخههای آسیبپذیر را به نسخههای پچ شده بهروزرسانی کنند تا از هرگونه سوءاستفاده احتمالی جلوگیری شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-46701
- https://www.cvedetails.com/cve/CVE-2025-46701/
- https://lists.apache.org/thread/xhqqk9w5q45srcdqhogdk04lhdscv30j
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46701
- https://vuldb.com/?id.310577
- https://nvd.nist.gov/vuln/detail/CVE-2025-46701
- http://www.openwall.com/lists/oss-security/2025/05/29/4
- https://cwe.mitre.org/data/definitions/178.html
