La Apache Software Foundation ha publicado varios parches de seguridad para
Apache Tomcat que abordan tres vulnerabilidades recientemente descubiertas
(CVE-2025-55752, CVE-2025-55754 y CVE-2025-61795) que afectan a las versiones
de Tomcat 9, 10 y 11.
La más grave, CVE-2025-55752, podría provocar la ejecución remota de código
(RCE) si se cumplen ciertas condiciones.
El problema más crítico, CVE-2025-55752, surge de una regresión en la gestión
de la reescritura de URL de Tomcat. Según el aviso,
«La corrección del error 60013 introdujo una regresión donde la URL
reescrita se normalizaba antes de ser decodificada. Esto generó la
posibilidad de que, para las reglas de reescritura que reescriben los
parámetros de consulta en la URL, un atacante pudiera manipular la URI de la
solicitud para eludir las restricciones de seguridad, incluyendo la
protección para /WEB-INF/ y /META-INF/».
Esta falla podría permitir a los atacantes eludir los controles de acceso y,
en ciertas configuraciones, cargar archivos maliciosos mediante solicitudes
HTTP PUT, lo que podría provocar la ejecución remota de código. Sin embargo,
Apache señala que su explotación es improbable en configuraciones estándar, ya
que
«las solicitudes PUT normalmente se limitan a usuarios de confianza y se
considera improbable que se habiliten junto con una reescritura que manipule
la URI».
Otra falla, CVE-2025-55754, afecta a las instancias de Tomcat que se ejecutan
en entornos Windows con consolas compatibles con secuencias de escape ANSI. El
aviso explica:
«Tomcat no escapó secuencias de escape ANSI en los mensajes de registro. Si
Tomcat se ejecutaba en una consola en un sistema operativo Windows y esta
admitía secuencias de escape ANSI, un atacante podía usar una URL
especialmente diseñada para inyectar secuencias de escape ANSI y manipular
la consola y el portapapeles, intentando engañar a un administrador para que
ejecutara un comando controlado por el atacante».
Si bien no se identificó ningún vector de ataque directo, Apache advirtió que
manipulaciones similares podrían haberse realizado en otros sistemas
operativos.
La tercera vulnerabilidad, CVE-2025-61795, podría causar una denegación de
servicio (DoS) durante la carga de archivos multiparte. Si se produce un
error, como exceder el límite de tamaño de archivo, las copias temporales de
los archivos cargados podrían no eliminarse inmediatamente.
Versiones afectadas:
- Tomcat 11.0.0-M1 a 11.0.10
- Tomcat 10.1.0-M1 a 10.1.44
- Tomcat 9.0.0.M11 a 9.0.108
Los usuarios deben actualizar a Tomcat 11.0.11, 10.1.45 o 9.0.109, donde el
problema ya se ha solucionado.
Fuente:
SecurityOnline