Se han descubierto vulnerabilidades de severidad alta en productos Apache. Un actor malicioso podría realizar ataques de falsificación de solicitudes o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
Apache Traffic Server (ATS):
- Versiones de la 9.0.0 hasta la 9.2.12.
- Versiones de la 10.0.0 hasta la 10.1.1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-65114: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de interpretación inconsistente de solicitudes HTTP. Un actor malicioso remoto podría enviar mensajes segmentados malformados para inducir al servidor a interpretar incorrectamente los límites de las solicitudes, permitiendo eludir controles de seguridad o manipular el tráfico de otros usuarios.
CVE-2025-58136: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de implementación incorrecta del flujo de control en el manejo de solicitudes POST. Un actor malicioso remoto podría enviar una solicitud diseñada específicamente para provocar la caída del proceso y una condición de denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias