Noticias

Vulnerabilidad crítica en Apache Tomcat con impacto en productos de F5

Fecha de publicación: 

Se ha identificado una vulnerabilidad crítica en versiones de Apache Tomcat con impacto en productos de F5, que incluyen ejecución remota de código, divulgación de información y potencial inyección de contenido malicioso. Un vector de ataque permite la explotación a través de configuraciones incorrectas del servlet predeterminado y soporte parcial para solicitudes **PUT**, lo que podría permitir a un usuario malintencionado acceder a archivos sensibles o inyectar código en ellos. Las condiciones adicionales, como la persistencia de sesiones basada en archivos, aumentan el riesgo de ejecución remota de código, especialmente si la aplicación utiliza bibliotecas vulnerables. Se recomienda actualizar a las versiones no afectadas (11.0.3, 10.1.35 y 9.0.98) para mitigar estos riesgos.

Recursos afectados

  • Apache Tomcat 11.0.0-M1 a 11.0.2
  • Apache Tomcat 10.1.0-M1 a 10.1.34
  • Apache Tomcat 9.0.0.M1 a 9.0.98
  • Traffix SDC 5.x (versión 5.2.0)

Análisis técnico

  • CVE-2025-24813: Vulnerabilidad de equivalencia de ruta (‘file.Name’ con punto interno) en Apache Tomcat que permite la ejecución remota de código, la divulgación de información o la inyección de contenido malicioso en archivos subidos mediante el servlet predeterminado con escritura habilitada. Afecta a Apache Tomcat desde la versión 11.0.0‑M1 hasta 11.0.2, desde 10.1.0‑M1 hasta 10.1.34 y desde 9.0.0‑M1 hasta 9.0.98. Si el servlet predeterminado tiene la escritura habilitada (desactivada por defecto) y admite PUT parcial (activado por defecto), la URL de destino para cargas sensibles es un subdirectorio de la URL pública, el atacante conoce los nombres de archivos sensibles y estos también se cargan mediante PUT parcial, podrá leer o modificar dichos archivos; además, si la aplicación usa persistencia de sesión basada en archivos en la ubicación predeterminada y contiene una biblioteca vulnerable a ataques de deserialización, podrá ejecutar código remoto. Se recomienda actualizar urgentemente a Apache Tomcat 11.0.3, 10.1.35 o 9.0.99, donde se corrige este problema.
  • CWE-502
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada

Mitigación / Solución

Para mitigar la vulnerabilidad CVE-2025-24813 de Apache Tomcat, se recomienda actualizar a las versiones corregidas: 11.0.3, 10.1.35 o 9.0.99. No existen soluciones alternativas o mitigaciones adicionales disponibles para esta vulnerabilidad.

Referencias adicionales