Uma recente vulnerabilidade de segurança no servlet CGI do Apache Tomcat, identificada como CVE-2025-46701, levanta preocupações em ambientes onde essa funcionalidade está habilitada. Embora a Apache Software Foundation considerasse a falha de baixa severidade, o incidente expõe potenciais riscos em instalações que utilizam o suporte ao CGI.
O problema é causado por um tratamento inadequado da sensibilidade a maiúsculas e minúsculas na interpretação do componente pathInfo nas URLs que invocam o servlet CGI. Isso significa que, em sistemas de arquivos que não diferenciam entre maiúsculas e minúsculas — como muitos sistemas Windows —, um atacante poderia criar caminhos maliciosos que burlam as restrições de segurança estabelecidas.
A vulnerabilidade afeta versões do Apache Tomcat desde a 9.0.0-M1 até a 11.0.6, mas sua ativação é limitada a ambientes onde o suporte ao CGI foi explicitamente ativado. A maioria dos usuários desse software, que normalmente implementam apenas aplicações Java sem CGI, não deve ser afetada.
Diante do risco, a Apache Software Foundation lançou correções nas versões mais recentes do Tomcat. Especialistas em segurança recomendam que os administradores de sistemas realizem uma auditoria imediata para verificar o uso de CGI. Caso não seja essencial, a opção mais segura é desativá-lo, enquanto a aplicação das atualizações deve ser priorizada.
A vulnerabilidade foi descoberta por Greg K, um pesquisador renomado na área de segurança de software. Seu achado ressalta a importância de manter módulos menos utilizados sempre atualizados e auditados. Organizações devem estar atentas à proteção de dados e reforçar suas políticas de segurança para evitar breaches futuros, especialmente em contextos onde scripts CGI são críticos.
As atualizações já estão disponíveis, e a proatividade continua sendo a chave para manter os sistemas seguros.
