Se ha identificado una vulnerabilidad crítica en servidores Apache Tomcat que podría permitir la ejecución remota de código (RCE) y la divulgación o corrupción de información a través de un método de carga de archivos parcial.
Productos afectados
- Apache Tomcat versión 11.0.0-M1 hasta 11.0.2
- Apache Tomcat versión 10.1.0-M1 hasta 10.1.34
- Apache Tomcat versión 9.0.0.M1 hasta 9.0.98
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2025-24813: con una puntuacion CVSS 9.8. Esta vulnerabilidad, si está habilitado el permiso de escritura en DefaultServlet (configuración no predeterminada), y la aplicación utiliza persistencia de sesión basada en archivos (también configuración no predeterminada), podría permitir la ejecución remota de código y la divulgacion de informacion sensible.
Recomendación
Actualizar Apache Tomcat a la última versión disponible que corrige esta vulnerabilidad, según lo indicado por el proveedor.
Referencias
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99
- https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq