Sintesi

Rilevata una vulnerabilità di sicurezza – già sanata dal vendor – nel noto server web open source sviluppato da Apache Software Foundation. Tale vulnerabilità potrebbe essere sfruttata per sovraccaricare le risorse di calcolo dei sistemi interessati al fine di compromettere la disponibilità del servizio.

Tipologia

• Denial of Service

Prodotti e versioni affette

Apache Tomcat

• 9.x, versioni precedenti alla 9.0.90
• 10.x, versioni precedenti alla 10.1.25
• 11.x, versioni precedenti alla 11.0.0-M21

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-34750

Riferimenti

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-11.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.