Se ha descubierto una vulnerabilidad de severidad crítica en productos Apache Tomcat. Un actor malicioso podría eludir los mecanismos de autenticación y seguridad de los sistemas afectados al omitir la verificación de revocación de certificados.
Productos afectados
- Apache Tomcat 11.x, desde la versión 11.0.0-M1 hasta la 11.0.17.
- Apache Tomcat 10.x, desde la versión 10.1.0-M7 hasta la 10.1.51.
- Apache Tomcat 9.x, desde la versión 9.0.83 hasta la 9.0.114.
- Apache Tomcat Native 1.x (1.3.0 a 1.3.4) y 2.x (2.0.0 a 2.0.11).
- Versiones en fin de vida útil (EoL)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-24734: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta. Un actor malicioso remoto podría omitir la verificación de certificados debido a que el sistema no completa las comprobaciones de actualización en las respuesta en el OCSP, permitiendo el uso de certificados que deberían haber sido invalidados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias