Faille de sécurité Apache Tomcat

News

En juin 2025, plusieurs failles de sécurité graves ont été découvertes dans Apache Tomcat, un composant logiciel central utilisé dans YSoft SafeQ 6. Apache Tomcat sert de serveur web et traite, entre autres, les téléchargements de fichiers et diverses requêtes d‘interface. Les vulnérabilités désormais connues permettent aux pirates informatiques de surcharger de manière ciblée les ressources du système (« déni de service »), de contourner les mécanismes de protection ou, dans certaines conditions, d‘accéder sans autorisation à des contenus sensibles.

 

AVERTISSEMENT - Blocage immédiat de toutes les interfaces de téléchargement requis (Apache Tomcat CVE-2025-48988/49125)

 

Vulnérabilités concernées


CVE-2025-48988 : déni de service par téléchargement multipart (CVSS 7.5)

  • Risque : panne du système due à l‘épuisement des ressources
  • Cause : application incorrecte des seuils de comptage partiel

 

CVE-2025-49125 : contournement des contrôles de sécurité (CVSS 7.5)

  • Risque : accès non autorisé à des ressources protégées
  • Cause : restrictions de sécurité dans PreResources/PostResources

 

Interfaces à bloquer

 

Interfaces utilisateur final Bloquer les requêtes POST : 

  • /upload-job

Services de gestion (bloquer toutes les requêtes POST)

  • /scan/upload/*
  • /software-package/packages*
  • /configuration/upload-image
  • /configuration/import
  • /servlet/box.DashboardUploadImageServlet
  • /servlet/users.ImportUsersServlet
  • /servlet/web.BillingCodesCSVImportServlet
  • /license/activation/upload
  • /mobile-connect/credentails/import

Système de paiement (bloquer toutes les requêtes POST)

  • /manage/vouchers/import
  • /manage/vouchers/vouchers-to-template
  • /manage/customers/import
  • /manage/quotas/*

Système de gestion de l‘information

  • Bloquer toutes les requêtes POST

Informations supplémentaires relatives à la sécurité

 

Fin d‘alerte pour CVE-2025-46701 : le servlet CGI est désactivé par défaut dans YSoft SafeQ 6 - aucune mesure n‘est nécessaire.

Fonctions concernées après le blocage

 

Remarque importante : le blocage de ces interfaces désactive temporairement :

  • Toutes les fonctions de téléchargement de fichiers
  • Fonctions d‘importation/exportation
  • Modifications de configuration via l‘interface Web
  • Fonctions de téléchargement de numérisations
  • Importation des données utilisateurImportation des bons/clients

 

Mesures immédiates

  • Configurer le pare-feu/proxy : bloquer tous les chemins POST mentionnés ci-dessus
  • Solution alternative : configurer les limites d‘en-tête Content-Disposition (après consultation du fournisseur du pare-feu)
  • Contrôles d‘accès : seul le personnel autorisé a accès à Tomcat

 

Calendrier

  • Immédiatement : mise en place du blocage des interfaces 
  • T3 2025 : mise à jour par Ysoft & Konica Minolta 

 

Téléchargement PDF

Retour