Apache Software Foundation đã công bố hai lỗ hổng CVE nghiêm trọng ảnh hưởng đến nhiều phiên bản của Apache Tomcat. Trong đó, một lỗ hổng tiềm ẩn nguy cơ cao về remote code execution trên các máy chủ dễ bị tấn công. Những lỗ hổng này tác động đến các phiên bản Apache Tomcat 9, 10 và 11, đòi hỏi quản trị viên phải nâng cấp hệ thống của mình ngay lập tức.

CVE-2025-55752: Lỗ hổng Directory Traversal dẫn đến Remote Code Execution

Chi tiết kỹ thuật về CVE-2025-55752

Lỗ hổng nghiêm trọng nhất, được định danh là CVE-2025-55752 và đánh giá mức độ “Quan trọng” (Important), xuất phát từ một lỗi hồi quy trong quá trình khắc phục một vấn đề bảo mật trước đó. Đây là một lỗ hổng CVE kiểu directory traversal, cho phép kẻ tấn công thao túng URI của các yêu cầu thông qua các URL được viết lại (rewrite rules) và được chuẩn hóa trước khi giải mã.

Lỗ hổng này đặc biệt ảnh hưởng đến các quy tắc viết lại URL (rewrite rules) có thao tác với các tham số truy vấn (query parameters). Điều này cho phép kẻ tấn công bỏ qua các hạn chế bảo mật quan trọng được thiết kế để bảo vệ các thư mục nhạy cảm như /WEB-INF/ và /META-INF/.

Kịch bản khai thác Remote Code Execution

Nguy hiểm thực sự của lỗ hổng CVE này xuất hiện khi các yêu cầu PUT được bật trên các máy chủ bị ảnh hưởng. Trong kịch bản này, kẻ tấn công có thể khai thác điểm yếu directory traversal để tải lên các tệp độc hại lên máy chủ. Việc này cuối cùng dẫn đến việc đạt được quyền remote code execution (RCE).

Tuy nhiên, các chuyên gia bảo mật lưu ý rằng các yêu cầu PUT thường bị hạn chế đối với người dùng đáng tin cậy. Điều này làm cho kịch bản khai thác remote code execution trở nên ít phổ biến hơn trong các môi trường sản xuất thực tế.

Phiên bản Apache Tomcat bị ảnh hưởng

Lỗ hổng CVE-2025-55752 được phát hiện bởi nhà nghiên cứu bảo mật Chumy Tsai từ CyCraft Technology. Các phiên bản Apache Tomcat bị ảnh hưởng bao gồm:

• Apache Tomcat 11.0.0-M1 đến 11.0.10
• Apache Tomcat 10.1.0-M1 đến 10.1.44
• Apache Tomcat 9.0.0.M11 đến 9.0.108

Thông tin chi tiết về lỗ hổng CVE này có thể tham khảo từ thông báo chính thức của Apache.

CVE-2025-55754: Lỗi Chuỗi Thoát ANSI trong Nhật ký

Mô tả kỹ thuật về CVE-2025-55754

Lỗ hổng thứ hai, CVE-2025-55754, có mức độ nghiêm trọng thấp hơn nhưng vẫn gây ra những lo ngại về bảo mật. Lỗi này liên quan đến việc Apache Tomcat không thoát đúng cách các chuỗi thoát ANSI (ANSI escape sequences) trong các thông báo nhật ký (log messages).

Khi Tomcat chạy trong môi trường console trên các hệ thống Windows có hỗ trợ chuỗi thoát ANSI, kẻ tấn công có thể tạo ra các URL được thiết kế đặc biệt. Các URL này cho phép tiêm chuỗi thoát độc hại vào các đầu ra nhật ký.

Những chuỗi được tiêm vào này có khả năng thao túng hiển thị console và nội dung clipboard. Điều này tiềm ẩn nguy cơ lừa các quản trị viên hệ thống thực thi các lệnh do kẻ tấn công kiểm soát.

Mặc dù chủ yếu được quan sát thấy trên nền tảng Windows, các nhà nghiên cứu cảnh báo rằng các vector tấn công tương tự có thể tồn tại trên các hệ điều hành khác. Đây là một lỗ hổng CVE cần được lưu ý.

Nguồn gốc và phiên bản bị ảnh hưởng

Lỗ hổng CVE-2025-55754 được xác định bởi Elysee Franchuk thuộc MOBIA Technology Innovations. Lỗ hổng này ảnh hưởng đến các phiên bản có phạm vi tương tự trên các dòng Apache Tomcat 9, 10 và 11.

Thông tin chi tiết về lỗ hổng CVE này có thể được tìm thấy tại thông báo của Apache Software Foundation.

Biện pháp Khắc phục và Cập nhật Bản vá bảo mật

Khuyến nghị nâng cấp hệ thống

Apache đã phát hành các phiên bản đã vá lỗi để giải quyết cả hai lỗ hổng CVE này. Các tổ chức đang chạy các cài đặt Apache Tomcat bị ảnh hưởng nên nâng cấp ngay lập tức để đảm bảo an toàn thông tin.

Cần nâng cấp lên các phiên bản sau, tùy thuộc vào triển khai hiện tại của bạn:

• Đối với Apache Tomcat 11.x: Nâng cấp lên phiên bản 11.0.11
• Đối với Apache Tomcat 10.1.x: Nâng cấp lên phiên bản 10.1.45
• Đối với Apache Tomcat 9.0.x: Nâng cấp lên phiên bản 9.0.109

Các bản vá bảo mật này đã được công bố vào ngày 27 tháng 10 năm 2025. Hướng dẫn giảm thiểu chi tiết có sẵn thông qua các khuyến nghị bảo mật chính thức của Apache cho từng dòng phiên bản bị ảnh hưởng.

Việc áp dụng các bản vá bảo mật kịp thời là cực kỳ quan trọng để bảo vệ hệ thống khỏi các nguy cơ tấn công tiềm tàng từ những lỗ hổng CVE này.

Để tìm hiểu thêm về các lỗ hổng CVE khác và thông tin bảo mật mới nhất, bạn có thể tham khảo tại National Vulnerability Database (NVD).