- شناسه CVE-2025-52434 :CVE
- CWE-362 :CWE
- yes :Advisory
- منتشر شده: جولای 10, 2025
- به روز شده: آگوست 8, 2025
- امتیاز: 7.5
- نوع حمله: Denial of Service
- اثر گذاری: Unknown
- حوزه: وبسرورها
- برند: Apache Software Foundation
- محصول: Apache Tomcat
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری شرایط رقابتی (Race Condition) در Apache Tomcat هنگام استفاده از متصل کننده APR/Native شناسایی شده است. این آسیب پذیری در نسخههای 9.0.0.M1. تا 9.0.106 و همچنین نسخه های قدیمی تر 8.5.0 تا 8.5.100 که دیگر پشتیبانی نمی شوند، رخ میدهد و ناشی از مدیریت نادرست قطع اتصالات HTTP/2 توسط کلاینت است. بهره برداری از این آسیب پذیری میتواند باعث کرش کردن JVM و در نهایت ایجاد حمله انکار سرویس (DoS) شود.
توضیحات
آسیبپذیری CVE-2025-52434 از نوع اجرای همزمان با استفاده از منابع مشترک بدون همگامسازی مناسب (مطابق با CWE-362) است که در Apache Tomcat هنگام استفاده از متصلکننده APR/Native رخ میدهد. این ضعف به شرایطی اشاره دارد که چندین فرآیند بهطور همزمان به یک منبع مشترک دسترسی پیدا کنند، بدون اینکه هماهنگی مناسبی بین آنها وجود داشته باشد که این موضوع میتواند باعث عملکرد غیرمنتظره سیستم شود. در این مورد، قطع اتصال HTTP/2 توسط کلاینت باعث شرایط رقابتی شده که میتواند منجر به کرش کردن JVM و حمله انکار سرویس (DoS) شود.
این حمله از راه دور قابل اجرا بوده، نیازی به سطح دسترسی یا تعامل کاربر ندارد. پیامد آن تنها بر در دسترسپذیری سیستم است. Apache این ضعف را در نسخه 9.0.107 با بهبود مدیریت همگامسازی در متصلکننده APR/Native برطرف کرده است. نسخههای قدیمیترکه به پایان دوره پشتیبانی (EOL) رسیده اند نیز تحت تأثیر هستند، بنابراین کاربران این نسخهها باید هرچه سریعتر به نسخههای پشتیبانیشده بهروزرسانی کنند.
CVSS
| Score | Severity | Version | Vector String |
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 9.0.0.M1 through 9.0.106
affected from 8.5.0 through 8.5.100 Unknown unknown from 5 before 8.5.0 |
Apache Tomcat |
لیست محصولات بروز شده
| Versions | Product |
| Upgrade to Apache Tomcat 9.0.107 or later | Apache Tomcat |
نتیجه گیری
با توجه به شدت بالای آسیبپذیری CVE-2025-52434 و امکان سوءاستفاده از آن برای ایجاد حملات انکار سرویس (DoS) در سرورهای Apache Tomcat، لازم است مدیران سامانه در کوتاهترین زمان ممکن به نسخه 9.0.107 یا بالاتر ارتقا دهند. تا پیش از اعمال وصله امنیتی، توصیه میشود با غیرفعالسازی APR/Native Connector و جایگزینی آن با NIO یا NIO2 Connector مسیر بهرهبرداری مهاجمان مسدود شود. همچنین ضروری است دسترسی به سرور تنها از طریق شبکههای مورد اعتماد و با استفاده از فایروال یا تونلهای امن (VPN) امکانپذیر باشد. در کنار این اقدامات، پایش مستمر لاگها بهویژه در سطح مدیریت ارتباطات HTTP/2 برای شناسایی الگوهای غیرعادی قطع یا بازنشانی اتصال اهمیت دارد. در صورت استفاده از نسخههای قدیمی و پایانیافته پشتیبانی (EOL) مانند سری 8.5.x یا پایینتر، مهاجرت به شاخههای پشتیبانیشده 9.x یا بالاتر امری حیاتی است. اجرای همزمان این اقدامات بهطور مؤثر ریسک بهرهبرداری را کاهش داده و تابآوری سرویس را افزایش میدهد. همچنین لازم است مدیران امنیتی بهطور منظم بخش Security Advisories در وبسایت رسمی Apache Tomcat را رصد کرده و وصلههای جدید را در سریعترین زمان اعمال کنند.
امکان استفاده در Mitre Attack
- execution (TA0002)
T1499 – Endpoint Denial of Service
مهاجم با ارسال درخواستهای HTTP/2 و قطع ناگهانی ارتباط میتواند شرایط رقابتی Race Condition را در APR/Native Connector ایجاد کرده و باعث کرش شدن JVM شود. - Impact (TA0040)
004 – Application or System Exploitation for DoS
بهرهبرداری از این ضعف منجر به توقف سرویسدهی Apache Tomcat و در نتیجه از دسترس خارج شدن برنامههای تحت وب میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-52434
- https://www.cvedetails.com/cve/CVE-2025-52434/
- https://lists.apache.org/thread/gxgh65004f25y8519coth6w7vchww030
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-52434
- https://vuldb.com/?id.316039
- https://nvd.nist.gov/vuln/detail/CVE-2025-52434
- https://cwe.mitre.org/data/definitions/362.html
