Se han descubierto dos vulnerabilidades de severidad alta. Estas vulnerabilidades podrían permitir a un actor malicioso eludir las reglas de seguridad y comprometer la disponibilidad del servicio en el sistema afectado.
Productos afectados
Apache Tomcat
- 9.x, desde la versión 9.0.0-M1 hasta la 9.0.102
- 9.x, desde la versión 9.0.76 hasta la 9.0.102
- 10.x, desde la versión 10.1.0-M1 hasta la 10.1.39
- 10.x, desde la versión 10.1.10 hasta la 10.1.39
- 11.x, desde la versión 11.0.0-M1 hasta la 11.0.5
- 11.x, desde la versión 11.0.0-M2 hasta la 11.0.5
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-31650: sin puntuación CVSS asignada aún. Esta vulnerabilidad de gestión incorrecta de errores en encabezados HTTP de prioridad no válidos podría provocar una limpieza incompleta de solicitudes fallidas, generando fugas de memoria.
CVE-2025-31651: sin puntuación CVSS asignada aún. Esta vulnerabilidad de neutralización incorrecta de secuencias de escape, metadatos o comandos de control que, en configuraciones improbables de reglas de reescritura, permitiría a un actor malicioso evadir protecciones de seguridad si estas dependían de dichas reglas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://lists.apache.org/thread/cpklvqwvdrp4k9hmd2l3q33j0gzy4fox
https://www.cve.org/CVERecord?id=CVE-2025-31650
https://www.cve.org/CVERecord?id=CVE-2025-31651
https://nvd.nist.gov/vuln/detail/CVE-2025-31650
https://nvd.nist.gov/vuln/detail/CVE-2025-31651
https://lists.apache.org/thread/j6zzk0y3yym9pzfzkq5vcyxzz0yzh826