Se han detectado múltiples vulnerabilidades, incluida una vulnerabilidad de severidad crítica, en Apache Tomcat. Estas vulnerabilidades permitirían saltarse el proceso de autenticación y realizar ataques XSS.
Productos Afectados
Apache Tomcat 11 – Versiones anteriores a 11.0.1
Apache Tomcat 10 – Versiones anteriores a 10.1.33
Apache Tomcat 9 – Versiones anteriores a 9.0.97
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2024-52316: Puntuación CVSS 9.8. Una vulnerabilidad en el componente Jakarta Authentication SeverAuthConext permitiría a un atacante saltarse el proceso de autenticación.
Las demás vulnerabilidades se identifican como:
CVE-2024-52317: Puntuación CVSS 6.5, severidad media. Un incorrecto reciclado de las consultas podría ocasionar que el sistema confunda las consultas entre varios usuarios.
CVE-2024-52318: Puntuación CVSS 6.1, severidad media. Un incorrecto reciclado de objetos permitiría a un atacante ejecutar un ataque de tipo XSS (Cross Site Scripting).
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante
Referencias