- شناسه CVE-2025-55668 :CVE
- CWE-384 :CWE
- yes :Advisory
- منتشر شده: آگوست 13, 2025
- به روز شده: آگوست 13, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: وبسرورها
- برند: Apache Software Foundation
- محصول: Apache Tomcat
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تثبیت نشست (Session Fixation) در Apache Tomcat، از طریق ماژول Rewrite Valve، شناسایی شده است. این آسیب پذیری به مهاجم اجازه میدهد با ایجاد یک URL مخرب، نشست کاربر را به نشست کنترلشده توسط خود متصل کند.
توضیحات
آسیبپذیری CVE-2025-55668 از نوع تثبیت نشست (Session Fixation) مطابق با CWE-384 در برنامههای وب Apache Tomcat شناسایی شده است و زمانی رخ میدهد که Rewrite Valve فعال باشد. در این حالت، مهاجم میتواند یک URL ویژه ایجاد کند که در صورت کلیک توسط قربانی، تعاملات کاربر با برنامه وب در قالب نشست مهاجم انجام شود و بدین ترتیب امکان دسترسی غیرمجاز به دادههای حساس نشست کاربر فراهم میشود. این آسیبپذیری نسخههای 11.0.0-M1 تا 11.0.7، 10.1.0-M1 تا 10.1.41 و 9.0.0.M1 تا 9.0.105 را تحت تأثیر قرار میدهد و احتمالاً نسخههای قدیمیتر که دیگر پشتیبانی نمیشوند (EOL) نیز آسیبپذیر هستند. حمله از راه دور قابل اجرا بوده، نیازی به دسترسی مدیریتی ندارد و تنها با کلیک قربانی روی URL مخرب انجام میشود و پیچیدگی پایینی دارد. پیامد اصلی این آسیبپذیری، افشای غیرمجاز دادههای نشست کاربر است که میتواند امنیت حسابها و اطلاعات حساس را تهدید کند . این آسیبپذیری توسط Greg K گزارش شده و تیم Apache Software Foundation نسخههای آسیبپذیر را با نسخههای بهروزرسانیشده 11.0.8، 10.1.42 و 9.0.106 پچ کرده است.
CVSS
Score | Severity | Version | Vector String |
6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
لیست محصولات آسیب پذیر
Versions | Product |
affected from 11.0.0-M1 through 11.0.7
affected from 10.1.0-M1 through 10.1.41 affected from 9.0.0.M1 through 9.0.105 unknown from 8 before 9.0.0.M1 |
Apache Tomcat |
لیست محصولات بروز شده
Versions | Product |
Upgrade to Apache Tomcat 11.0.8 or later
Upgrade to Apache Tomcat 10.1.42 or later Upgrade to Apache Tomcat 9.0.106 or later |
Apache Tomcat |
نتیجه گیری
به کاربران Apache Tomcat توصیه میشود هرچه سریعتر سرورهای خود را به نسخههای 11.0.8، 10.1.42 یا 9.0.106 ارتقا دهند تا آسیبپذیری Session Fixation رفع شود. در صورت عدم نیاز، ماژول Rewrite Valve باید غیرفعال شود و کنترل دسترسی به برنامههای وب از طریق فایروال و محدودسازی سطح دسترسی کاربران تقویت گردد. ترافیک شبکه باید برای شناسایی URLهای مخرب و رفتارهای غیرمعمول در نشستها مانیتور شود. کاربران باید از تعامل با لینکها و ایمیلهای مشکوک خودداری کنند و لاگهای نشست و خطاها برای شناسایی فعالیتهای مشکوک و تلاشهای سوءاستفاده بررسی شوند. همچنین، استفاده از رمزهای قوی برای حسابهای مدیریتی و پیروی از سیاستهای امنیتی استاندارد سرور Tomcat به کاهش ریسک نفوذ و افزایش امنیت محیط عملیاتی کمک میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55668
- https://www.cvedetails.com/cve/CVE-2025-55668/
- https://lists.apache.org/thread/v6bknr96rl7l1qxkl1c03v0qdvbbqs47
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55668
- https://vuldb.com/?id.319911
- https://nvd.nist.gov/vuln/detail/CVE-2025-55668
- https://cwe.mitre.org/data/definitions/384.html