Vulnerabilidades da Semana #015

🚨 Novos alertas de segurança: Apache Tomcat corrige falhas críticas (DoS e rewrite bypass), Kernel Linux sofre vulnerabilidade de escalonamento de privilégios no vsock, e Oracle VirtualBox corrige bug de alta gravidade que permite comprometer o hipervisor.

Wagner Souza

5/5/20253 min read

Vulnerabilidades no Apache Tomcat

A Apache Software Foundation lançou importantes atualizações de segurança para corrigir duas vulnerabilidades que afetam diversas versões do Apache Tomcat. Identificadas como CVE-2025-31650 e CVE-2025-31651, essas vulnerabilidades podem levar a condições de Denial of Service (DoS) e bypassess de segurança se não forem corrigidas.

CVE-2025-31650[1] | CVSSv3 7.5 (High) Denial of Service via Invalid HTTP Prioritization Header

As versões afetadas incluem:

  • Apache Tomcat 11.0.0-M2 a 11.0.5

  • Apache Tomcat 10.1.10 a 10.1.39

  • Apache Tomcat 9.0.76 a 9.0.102

Para mitigar esse risco, os usuários devem atualizar para as seguintes versões:

CVE-2025-31651 | CVSSv3 7.5 (High) [2] Rewrite Rule Bypass

As versões afetadas incluem:

  • Apache Tomcat 11.0.0-M1 para 11.0.5

  • Apache Tomcat 10.1.0-M1 para 10.1.39

  • Apache Tomcat 9.0.0.M1 para 9.0.102

Assim como no caso do CVE-2025-31650, os usuários devem atualizar para:

1 - https://lists.apache.org/thread/y14yjrf40w2236hwjv7gmhs65csn42gj

2 - https://lists.apache.org/thread/sxzchc0mkp7kd238dzothwqh2cww6l7b

CVE-2025-21756 | CVSSv3 7.8 (High)

Vulnerabilidades no Kernel Linux

Foi identificada uma vulnerabilidade significativa na implementação do Virtual Socket (vsock) do kernel Linux, designada como CVE-2025-21756, permitindo que atores de ameaças, com acesso local, realizem escalação de privilégios para o nível root.

De acordo com o relatório Hoefler[1], a vulnerabilidade, notificada como CVE-2025-21756[2], decorre do manuseio inadequado de vinculações de socket durante a reatribuição de transporte no subsistema vsock. Kernel Linux com implementação vsock (Virtual Socket) (principalmente versões anteriores a 6.6.79, 6.12.16, 6.13.4 e 6.14-rc1) são afetados por essa falha.

As principais distribuições Linux, como Ubuntu (https://ubuntu.com/security/CVE-2025-21756), Red Hat (https://access.redhat.com/security/cve/cve-2025-21756), Debian (https://security-tracker.debian.org/tracker/CVE-2025-21756) e SuSe (https://www.suse.com/security/cve/CVE-2025-21756.html) já disponibilizaram patches de correção.

1 - https://hoefler.dev/articles/vsock.html

2 - https://nvd.nist.gov/vuln/detail/CVE-2025-21756

CVE-2024-21113 | CVSS 8.8 (HIGH)

Vulnerabilidade no Oracle VM VirtualBox

Uma falha crítica de segurança no Oracle VM VirtualBox (CVE-2024-21113[1]) foi corrigida depois que pesquisadores descobriram que ela poderia permitir que invasores, com acesso local, aumentassem privilégios e comprometessem ambientes de hipervisor. A vulnerabilidade, classificada como CVSS v3.1 8,8 (HIGH) , afeta versões do VirtualBox anteriores à 7.0.16.

A vulnerabilidade foi relatada à Oracle em 28 de março de 2024 pelo pesquisador Dungdm (@_piers2) da Viettel Cyber Security. O comunicado da Oracle confirma que nenhuma exploração ativa foi detectada antes do patch, mas a disponibilidade de uma prova de conceito na plataforma da Zero Day Initiative[2] aumenta os riscos pós-divulgação.

A Oracle solucionou o problema no VirtualBox 7.0.16, lançado em 16 de abril de 2024, como parte de sua Atualização Crítica de Patch. As organizações são incentivadas a:

  • Atualizar imediatamente todas as instalações do VirtualBox para a versão 7.0.16 ou posterior

  • Restringir o acesso ao host apenas a usuários confiáveis

  • Isolar os ambientes do VirtualBox de segmentos críticos da rede

  • Monitorar atividades incomuns na infraestrutura de virtualização

1 - https://www.oracle.com/security-alerts/cpuapr2024.html

2 - https://www.zerodayinitiative.com/advisories/ZDI-25-257/

Veja no Youtube