La Apache Software Foundation ha publicado varios parches de seguridad para Apache Tomcat que abordan tres vulnerabilidades recientemente descubiertas (CVE-2025-55752, CVE-2025-55754 y CVE-2025-61795) que afectan a las versiones de Tomcat 9, 10 y 11. La más grave, CVE-2025-55752, podría provocar la ejecución remota de código (RCE) si se cumplen ciertas condiciones. El problema más crítico, CVE-2025-55752, surge de una regresión en la gestión de la reescritura de URL de Tomcat.

Otra falla, CVE-2025-55754, afecta a las instancias de Tomcat que se ejecutan en entornos Windows con consolas compatibles con secuencias de escape ANSI. El aviso explica: "Tomcat no escapó secuencias de escape ANSI en los mensajes de registro. Si Tomcat se ejecutaba en una consola en un sistema operativo Windows y esta admitía secuencias de escape ANSI, un atacante podía usar una URL especialmente diseñada para inyectar secuencias de escape ANSI y manipular la consola y el portapapeles, intentando engañar a un administrador para que ejecutara un comando controlado por el atacante".

Si bien no se identificó ningún vector de ataque directo, Apache advirtió que manipulaciones similares podrían haberse realizado en otros sistemas operativos.

La tercera vulnerabilidad, CVE-2025-61795, podría causar una denegación de servicio (DoS) durante la carga de archivos multiparte. Si se produce un error, como exceder el límite de tamaño de archivo, las copias temporales de los archivos cargados podrían no eliminarse inmediatamente. 

Versiones afectadas:

-Tomcat 11.0.0-M1 a 11.0.10

-Tomcat 10.1.0-M1 a 10.1.44

-Tomcat 9.0.0.M11 a 9.0.108

Los usuarios deben actualizar a Tomcat 11.0.11, 10.1.45 o 9.0.109, donde el problema ya se ha solucionado.