No universo da segurança da informação, falhas em tecnologias amplamente adotadas podem causar impactos significativos. Recentemente, três vulnerabilidades foram identificadas em duas ferramentas cruciais para ambientes corporativos baseados em Java: o Apache Tomcat e o Apache Camel. Essas falhas, identificadas como CVE-2025-24813 (Tomcat), CVE-2025-27636 e CVE-2025-29891 (Camel), permitem a execução remota de código (RCE). Neste artigo do Blog Dolutech, vamos detalhar cada vulnerabilidade, como elas funcionam, quem está em risco e como mitigar os perigos com as atualizações de segurança já disponíveis.
CVE-2025-24813: Vulnerabilidade no Apache Tomcat
O que é
A falha CVE-2025-24813 afeta o Apache Tomcat e permite que um invasor explore a funcionalidade partial PUT para sobrescrever arquivos de sessão serializados e executá-los posteriormente por meio de uma deserialização maliciosa.
Versões afetadas
- Tomcat 9.0.0.M1 até 9.0.98
- Tomcat 10.1.0-M1 até 10.1.34
- Tomcat 11.0.0-M1 até 11.0.2
Requisitos para exploração
- Servlet padrão com permissão de escrita ativada
- Recurso partial PUT habilitado (ativo por padrão)
- Persistência de sessão baseada em arquivo
- Biblioteca vulnerável que permita execução de objetos deserializados
Severidade
Essa falha pode ser considerada crítica, com pontuação CVSS próxima de 9.8, especialmente quando todos os requisitos estão presentes.
Atualização de segurança
As versões corrigidas são:
- Tomcat 9.0.99
- Tomcat 10.1.35
- Tomcat 11.0.3
CVE-2025-27636 e CVE-2025-29891: Vulnerabilidades no Apache Camel
O que são
Essas falhas afetam o Apache Camel e exploram a forma como o framework filtra cabeçalhos HTTP. Invasores podem burlar as restrições de cabeçalhos usando variações de maiúsculas e minúsculas, injetando comandos via camel-bean ou camel-exec.
- CVE-2025-27636: Header Injection via variação de capitalização (ex:
CAmelExecCommandExecutable) - CVE-2025-29891: Exploração por parâmetros de URL, contornando os filtros padrão
Versões afetadas
- Camel 4.10.0 até 4.10.1
- Camel 4.8.0 até 4.8.4
- Camel 3.10.0 até 3.22.3
Severidade
Embora inicialmente classificadas com pontuações CVSS abaixo de 6.0, essas falhas têm alto potencial de exploração devido à simplicidade do bypass.
Atualizações de segurança
- Camel 4.10.2
- Camel 4.8.5
- Camel 3.22.4
Comparativo entre as falhas
| Vulnerabilidade | CVSS (estimado) | Exploração | Requisitos Específicos | Correção |
|---|---|---|---|---|
| CVE-2025-24813 | ~9.8 | Moderada | Vários requisitos | Atualizar Tomcat |
| CVE-2025-27636 | ~5.6 | Alta | Filtragem padrão ativa | Atualizar Camel |
| CVE-2025-29891 | ~4.2 | Alta | Entrada via URL | Atualizar Camel |
Mitigação e boas práticas
Tomcat
- Atualizar para as versões corrigidas
- Desativar o recurso partial PUT
- Revogar permissões de escrita no servlet padrão
- Evitar persistência de sessão via arquivos
Camel
- Atualizar imediatamente
- Aplicar filtros manuais adicionais aos cabeçalhos HTTP
- Remover cabeçalhos suspeitos com
removeHeader - Evitar exposição de rotas sem autenticação
- Usar TLS/SSO sempre que possível
Medidas adicionais
- Utilizar ferramentas de varredura de vulnerabilidades (Greenbone, Akamai Guardicore, Qualys)
- Monitorar logs de aplicação para detecção precoce
- Aplicar autenticação e controle de acesso nos endpoints vulneráveis
Conclusão
Essas três falhas representam uma ameaça significativa às aplicações baseadas em Java, principalmente em ambientes corporativos com uso intensivo de Apache Tomcat e Apache Camel. A execução remota de código é uma das vulnerabilidades mais críticas e com maior potencial destrutivo.
A Dolutech recomenda fortemente que as organizações identifiquem sistemas afetados, atualizem suas versões imediatamente e revisem suas configurações de segurança para mitigar riscos associados.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.