Uma vulnerabilidade grave no Apache Tomcat foi identificada, possibilitando ataques de negação de serviço (DoS) por meio de cabeçalhos HTTP/2 manipulados, afetando diversas versões amplamente utilizadas.
A falha, registrada como CVE‑2025‑31650, está presente em versões entre 9.0.76–9.0.102, 10.1.10–10.1.39 e 11.0.0‑M2–11.0.5 do Apache Tomcat. O problema ocorre devido ao tratamento inadequado de cabeçalhos HTTP/2 “Priority” inválidos: requisições malformadas causam vazamentos de memória não liberados, exigindo consumo contínuo de RAM . Sem necessidade de autenticação, um atacante pode enviar grandes quantidades de requisições disfuncionais, levando o servidor a um estado de OutOfMemoryException e indisponibilidade.
Essa vulnerabilidade possui CVSS 7.5 (alto) e já existem explorações públicas usando scripts automatizados . Dada a popularidade do Tomcat em ambientes corporativos, o impacto operacional é significativo
Atualize imediatamente o Apache Tomcat para as versões corrigidas: 9.0.104, 10.1.40 ou 11.0.6
Implemente limites de taxa (rate limiting) em requisições HTTP/2 para evitar abusos de cabeçalhos malformados.
Use WAF (Web Application Firewall) ou regras específicas para bloquear cabeçalhos HTTP/2 suspeitos
Monitore consumo de memória e registros de falha (OutOfMemory), configurando alertas para picos incomuns.
Adote validação rigorosa de entrada, mesmo para protocolos internos, evitando vazamentos de recursos.
A falha CVE‑2025‑31650 demonstra como falhas de entrada em componentes HTTP/2 podem resultar em sérios eventos de indisponibilidade. A LC SEC oferece serviços de atualização de software, configuração segura, implementação de WAF e monitoramento contínuo para proteger sua infraestrutura. Garanta disponibilidade e resiliência no seu ambiente Java.
Saiba mais em: lcsec.io