Kritische Tomcat Lücke umgeht Rewrite Constraints
In Apache Tomcat wurde eine kritische Sicherheitslücke (CVE-2025-31651) festgestellt, bei der schlecht konfigurierte Rewrite-Regeln umgangen werden können. Betroffen sind die Versionen 11.0.0-M1 bis 11.0.5, 10.1.0-M1 bis 10.1.39 und 9.0.0-M1 bis 9.0.102. Ein Angreifer kann eine speziell präparierte HTTP-Anfrage senden, die bestehende Rewrite-Constraints unberücksichtigt lässt und dadurch Zugang zu eigentlich geschützten Ressourcen ermöglicht. Während bislang keine öffentlichen Exploits bekannt sind, bewertet die Apache Software Foundation die Lücke mit einem CVSS Base Score von 9.8 als „kritisch“. Nutzer müssen zeitnah auf Tomcat 11.0.6 bzw. höher, 10.1.40 bzw. höher oder 9.0.104 bzw. höher upgraden, um die Schwachstelle zu schließen . Zusätzlich sollten Rewrite-Regel-Konfigurationen überprüft und gegebenenfalls vereinfacht werden sowie Web Application Firewalls eingesetzt werden, um unautorisierte Anfragen bereits auf Netzwerkebene abzufangen.