Se ha descubierto una nueva vulnerabilidad de seguridad en la implementación
del servlet CGI de Apache Tomcat que podría permitir a los atacantes eludir
las restricciones de seguridad configuradas en determinadas circunstancias.
Esta vulnerabilidad afecta a una amplia gama de versiones de Apache Tomcat en
tres ramas de lanzamiento principales. Las versiones afectadas incluyen Apache
Tomcat 11.0.0-M1 a 11.0.6, 10.1.0-M1 a 10.1.40 y 9.0.0-M1 a 9.0.104.
La vulnerabilidad, designada CVE-2025-46701, se divulgó el 29 de mayo de 2025
y afecta a varias versiones del popular servidor de aplicaciones Java. La
falla se debe a una gestión incorrecta de la distinción entre mayúsculas y
minúsculas en el servlet CGI de Apache Tomcat, afectando específicamente al
componente pathInfo de las URL asignadas a dicho servlet.
Cuando Tomcat opera en sistemas de archivos que no distinguen entre mayúsculas
y minúsculas con restricciones de seguridad configuradas para el componente
pathInfo, las URL especialmente diseñadas pueden eludir estas medidas
de protección.
Los investigadores de seguridad han clasificado esta vulnerabilidad como de
baja gravedad, aunque representa una preocupación importante para las
organizaciones que utilizan aplicaciones basadas en CGI con estrictos
controles de acceso.
La vulnerabilidad afecta especialmente a entornos con compatibilidad con
CGI habilitada, la cual está deshabilitada por defecto en las instalaciones
de Tomcat.
La Fundación de Software Apache ha enfatizado que esta vulnerabilidad solo
afecta a sistemas donde la compatibilidad con CGI se ha habilitado
explícitamente, ya que esta funcionalidad permanece deshabilitada por defecto
en todas las versiones de Tomcat. Las organizaciones que utilizan Tomcat
principalmente para el alojamiento de aplicaciones web estándar sin
funcionalidad CGI no están expuestas a este vector de ataque en particular.
La Fundación de Software Apache ha publicado
versiones parcheadas
que solucionan esta vulnerabilidad en todas las ramas afectadas. Las
organizaciones deben actualizar a Apache Tomcat 11.0.7, 10.1.41 o 9.0.105,
según su implementación actual. Estas versiones actualizadas incluyen un
manejo adecuado de la distinción entre mayúsculas y minúsculas en la
implementación del servlet CGI.
Los administradores de sistemas deben evaluar inmediatamente sus
implementaciones de Tomcat para determinar si la compatibilidad con CGI está
habilitada y si se aplican restricciones de seguridad a los componentes
pathInfo. Las organizaciones que utilizan la funcionalidad CGI deben
priorizar la actualización a las versiones parcheadas, mientras que aquellas
que no la requieren deben asegurarse de que permanezca deshabilitada como
medida de seguridad adicional.
Fuente:
CyberSecurityNews