Se han descubierto vulnerabilidades de seguridad en Tomcat y HTTP Server. Estas podrían permitir a un actor malicioso acceder a información confidencial o comprometer la disponibilidad del servicio en el sistema afectado.
Productos afectados
- Apache Tomcat 9.x, desde la versión 9.0.0-M1 hasta la 9.0.106
- Apache Tomcat 10.x, desde la versión 10.1.0-M1 hasta la 10.1.42
- Apache Tomcat 11.x, desde la versión 11.0.0-M1 hasta la 11.0.8
- Apache HTTP Server 2.4.x, desde la versión 2.4.0 hasta la 2.4.63
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-53506: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de consumo incontrolado de recursos en Apache Tomcat si un cliente HTTP/2 no reconoce el marco de configuración inicial que reduce el máximo de transmisiones simultáneas permitidas.
CVE-2025-52434: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de ejecución concurrente mediante recursos compartidos con sincronización incorrecta en Apache Tomcat al usar el conector APR/Nativo.
CVE-2025-52520: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros en Apache Tomcat que podría provocar un ataque de denegación de servicio al eludir los límites de tamaño.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-53506
- https://nvd.nist.gov/vuln/detail/CVE-2025-52434
- https://nvd.nist.gov/vuln/detail/CVE-2025-52520
- https://tomcat.apache.org/security-9.html
- https://tomcat.apache.org/security-10.html
- https://tomcat.apache.org/security-11.html
- https://httpd.apache.org/security/vulnerabilities_24.html