Actualización de seguridad para Apache Tomcat

Apache Tomcat, reconocido como uno de los servidores web de aplicaciones más utilizados a nivel mundial, ha lanzado una actualización de seguridad crítica destinada a corregir dos vulnerabilidades que fueron descubiertas recientemente.

Estas fallas podrían permitir a atacantes causar una denegación de servicio (DoS) o eludir reglas de reescritura de solicitudes configuradas en los servidores. Ambas vulnerabilidades afectan principalmente a las versiones más recientes de Tomcat y representan riesgos importantes para la estabilidad y la seguridad de los entornos afectados.

  • CVE-2025-31650 (CVSS 7.5): Una vulnerabilidad en la validación de la solicitud cuando se utilizan las reglas de reescritura (RewriteValve) permite que un atacante eluda ciertas políticas de acceso configuradas, comprometiendo la seguridad de las aplicaciones.
  • CVE-2025-31651 (CVSS 7.5): Una condición específica de error en el tratamiento de sendfile en Tomcat podría ser explotada por un atacante remoto para provocar una denegación de servicio (DoS) al servidor, causando que los hilos de procesamiento queden bloqueados.

Productos y versiones afectadas:

  • Apache Tomcat 11.0.0-M2 a 11.0.5
  • Apache Tomcat 10.1.10 a 10.1.39
  • Apache Tomcat 9.0.76 a 9.0.102

Solución

  • Apache Tomcat 11.0.6 o posterior
  • Apache Tomcat 10.1.40 o posterior
  • Apache Tomcat 9.0.104 o posterior

Recomendaciones:

  • Aplicar de inmediato los parches de actualización publicados por Apache para las versiones afectadas.
  • Verificar las reglas de reescritura configuradas en RewriteValve para asegurarse de que no haya excepciones inseguras.
  • Monitorear continuamente los servidores Tomcat en producción para identificar comportamientos anómalos o caídas del servicio.
  • Establecer mecanismos de control de acceso y validación adicionales para reforzar la seguridad de las aplicaciones desplegadas.

Referencias: