Noticias

Vulnerabilidades en Apache Tomcat con impacto en software de HPE

Fecha de publicación: 

Resumen ejecutivo

Se han identificado dos vulnerabilidades críticas en Apache Tomcat con impacto en softrware de HPE. La primera, clasificada con una gravedad de 9.8, permite a los atacantes evadir ciertas reglas de seguridad a través de solicitudes especialmente manipuladas, si se dan unas configuraciones de reglas de reescritura muy específicas. La segunda, con una gravedad de 7.5, causa una fuga de memoria debido a la gestión inadecuada de errores de encabezados HTTP inválidos, lo que podría llevar a una denegación de servicio en caso de múltiples solicitudes fallidas. Ambos problemas pueden ser mitigados actualizando Apache Tomcat a las versiones recomendadas.

Recursos afectados

  • HPE Telco Service Orchestrator software (HPE Telco Service Orchestrator - anterior a v5.3.2)

Análisis técnico

  • CVE-2025-31651: Vulnerabilidad de neutralización incorrecta de secuencias de escape, metadatos o de control en Apache Tomcat. En un subconjunto de configuraciones poco probables de reglas de reescritura, una solicitud especialmente manipulada podría evadir algunas reglas de reescritura. Si dichas reglas aplicaban restricciones de seguridad de manera efectiva, estas podrían ser evadidas. Este problema afecta a Apache Tomcat: desde la 11.0.0-M1 hasta la 11.0.5, desde la 10.1.0-M1 hasta la 10.1.39 y desde la 9.0.0.M1 hasta la 9.0.102. Se aconseja a los usuarios que actualicen a la versión [FIXED_VERSION], que resuelve el problema.
    • CWE-116
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31650: Vulnerabilidad de validación de entrada incorrecta en Apache Tomcat. El manejo inadecuado de errores en algunos encabezados HTTP de prioridad no válidos provocó una limpieza deficiente de la solicitud fallida, generando una fuga de memoria. Un gran número de solicitudes de este tipo podría ocasionar una excepción de OutOfMemoryException, resultando en una denegación de servicio. Este problema afecta a Apache Tomcat: desde la 9.0.76 hasta la 9.0.102, desde la 10.1.10 hasta la 10.1.39 y desde la 11.0.0-M2 hasta la 11.0.5. Se recomienda actualizar a las versiones 9.0.104, 10.1.40 o 11.0.6, que resuelven el problema.
    • CWE-459
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

Hewlett Packard Enterprise ha identificado dos posibles vulnerabilidades de seguridad en el software HPE Telco Service Orchestrator que podrían ser explotadas de forma remota, causando la denegación de servicio (DoS) y eludir las restricciones de acceso. Para mitigar estos problemas, HPE ha proporcionado una actualización de software. Se recomienda a los usuarios que actualicen al software HPE Telco Service Orchestrator v5.3.2 o posterior. Esta actualización está disponible en https://myenterpriselicense.hpe.com/. Tenga en cuenta que el software "HPE Service Director" se ha renombrado como "HPE Telco Service Orchestrator". Si ya estaba suscrito a "HPE Service Director", por favor suscríbase ahora a "HPE Telco Service Orchestrator".

Referencias adicionales