O que é a vulnerabilidade CVE‑2025‑31650

Uma vulnerabilidade grave no Apache Tomcat foi identificada, possibilitando ataques de negação de serviço (DoS) por meio de cabeçalhos HTTP/2 manipulados, afetando diversas versões amplamente utilizadas.

A falha, registrada como CVE‑2025‑31650, está presente em versões entre 9.0.76–9.0.102, 10.1.10–10.1.39 e 11.0.0‑M2–11.0.5 do Apache Tomcat. O problema ocorre devido ao tratamento inadequado de cabeçalhos HTTP/2 “Priority” inválidos: requisições malformadas causam vazamentos de memória não liberados, exigindo consumo contínuo de RAM.

Sem necessidade de autenticação, um atacante pode enviar grandes quantidades de requisições disfuncionais, levando o servidor a um estado de OutOfMemoryException e indisponibilidade. Essa vulnerabilidade possui CVSS 7.5 (alto) e já existem explorações públicas usando scripts automatizados.

Como funciona

Dada a popularidade do Tomcat em ambientes corporativos, o impacto operacional da falha é significativo. A vulnerabilidade permite que atacantes explorem a falha enviando requisições maliciosas que levam ao esgotamento de memória do servidor.

Sinais de alerta / Como identificar

É importante monitorar o sistema para identificar sinais de ataques, como:

• Aumento inesperado no consumo de memória.
• Registros de falhas (OutOfMemory) no servidor.
• Comportamento anômalo nas respostas do servidor.

O que fazer agora / Como se proteger

Para proteger sua infraestrutura contra essa vulnerabilidade, siga as recomendações abaixo:

1. Atualize imediatamente o Apache Tomcat para as versões corrigidas: 9.0.104, 10.1.40 ou 11.0.6.
2. Implemente limites de taxa (rate limiting) em requisições HTTP/2 para evitar abusos de cabeçalhos malformados.
3. Use WAF (Web Application Firewall) ou regras específicas para bloquear cabeçalhos HTTP/2 suspeitos.
4. Monitore consumo de memória e registros de falha (OutOfMemory), configurando alertas para picos incomuns.
5. Adote validação rigorosa de entrada, mesmo para protocolos internos, evitando vazamentos de recursos.

Prevenção / Boas práticas

A falha CVE‑2025‑31650 demonstra como falhas de entrada em componentes HTTP/2 podem resultar em sérios eventos de indisponibilidade. É fundamental garantir a segurança e a integridade do sistema através da atualização regular do software e da monitoração contínua.

Perguntas frequentes

O que é CVE‑2025‑31650?

É uma vulnerabilidade crítica no Apache Tomcat que permite ataques de negação de serviço (DoS) por meio de cabeçalhos HTTP/2 manipulados.

Quais versões do Apache Tomcat são afetadas?

As versões afetadas incluem 9.0.76 a 9.0.102, 10.1.10 a 10.1.39 e 11.0.0‑M2 a 11.0.5.

Qual é a gravidade da vulnerabilidade?

A vulnerabilidade possui uma pontuação CVSS de 7.5, considerada alta, indicando um risco significativo para os sistemas afetados.

Como posso me proteger contra essa vulnerabilidade?

As medidas incluem atualizar o Apache Tomcat, implementar limites de taxa, usar WAF e monitorar o consumo de memória.

Onde posso obter mais informações sobre segurança em cibersegurança?

Você pode visitar o site da LC Sec para mais informações e serviços de segurança.

Saiba mais em: lcsec.io