Se ha detectado una vulnerabilidad de severidad crítica en el servidor web de código abierto desarrollado por Apache Software Foundation. Si esta vulnerabilidad se explota, podría permitir a un actor malicioso ejecutar código arbitrario en el sistema afectado.
Productos afectados
- Apache Tomcat desde la versión 11.0.0-M1 hasta 11.0.1
- Apache Tomcat desde la versión 10.1.0-M1 hasta 10.1.33
- Apache Tomcat desde la versión 9.0.0.M1 hasta 9.0.97
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2025-24813, con una puntuación CVSS 9.8. El error se deriva de una combinación de configuraciones incorrectas y valores predeterminados peligrosos en el manejo de Tomcat de solicitudes PUT parciales, lo que, en circunstancias específicas, permitiría a un actor malicioso cargar y ejecutar código arbitrario sin autenticación.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
- https://tomcat.apache.org/security-11.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50379
- https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r