Une vulnérabilité de fraude de requêtes HTTP dans Apache Tomcat est présente "depuis au moins 2015", ont averti les mainteneurs du projet.

« Apache Tomcat n'analysait pas correctement l'en-tête des requêtes HTTP « transfer-encoding » dans certaines circonstances, ce qui entraînait la possibilité d'une demande de fraude de requêtes lorsqu'il est utilisé avec un reverse proxy.», ont déclaré les mainteneurs du projet.

La fraude de requêtes HTTP est une technique qui peut être utilisée pour interférer avec la manière dont un site Web traite les séquences de requêtes HTTP reçues des utilisateurs. Elle peut permettre à un attaquant de contourner les contrôles de sécurité, d'obtenir un accès non autorisé à des données sensibles et de compromettre directement d'autres utilisateurs d'applications.

Les versions affectées sont :

• De 10.0.0-M1 à 10.0.6
• De 9.0.0. à to 9.0.46
• De 8.5.0 à 8.5.66

Aucune note CVSS ne lui a encore été attribuée. Cependant, l'équipe de sécurité de Tomcat lui a attribué le niveau "important" sur une échelle de "faible, modéré, important ou critique".

Les utilisateurs des versions concernées doivent effectuer une mise à jour vers Apache Tomcat 10.0.7 ou plus récent, 9.0.48 ou plus récent, ou 8.5.68 ou plus récent. Le problème a été corrigé dans les versions 9.0.47 et 8.5.67.