Uma falha crítica de segurança foi descoberta no Apache Tomcat, servidor amplamente utilizado para aplicações Java. Registrada como CVE-2025-31650, a vulnerabilidade está relacionada a uma validação inadequada de entradas, resultando em um tratamento incorreto de cabeçalhos HTTP com valores de prioridade inválidos. Isso causa um vazamento de memória, já que as requisições com erro não são devidamente descartadas. O problema permite que um grande volume de requisições malformadas esgote gradualmente a memória do sistema, levando a uma exceção de falta de memória (OutOfMemoryException) e, por consequência, à interrupção do serviço caracterizando um ataque de negação de serviço (DoS).

A falha afeta as versões 9.0.76 a 9.0.102, 10.1.10 a 10.1.39 e 11.0.0-M2 a 11.0.5 do Apache Tomcat. Com um vetor de ataque remoto e sem exigir interação do usuário, o risco é elevado, pois qualquer atacante que consiga enviar requisições HTTP pode explorar a vulnerabilidade. O escore CVSS atribuído à falha reflete sua gravidade, destacando o potencial de causar paralisação completa do serviço, mesmo sem comprometer dados.

A Apache Software Foundation já disponibilizou atualizações que corrigem o problema: 9.0.104, 10.1.40 e 11.0.6. Administradores de sistemas são fortemente orientados a aplicar essas atualizações imediatamente. Informações detalhadas foram compartilhadas em canais especializados como a lista oss-security e nos fóruns oficiais da Apache.