Vulnerabilidad crítica en Apache Tomcat

Apache Tomcat es un servidor web de código abierto ampliamente utilizado para implementar aplicaciones basadas en Java. Recientemente se ha identificado una vulnerabilidad crítica que podría permitir la ejecución remota de código (RCE) en sistemas afectados.

• CVE-2025-24813 (CVSS 9.8): Esta vulnerabilidad, conocida como «Path Equivalence«, es atribuida a un manejo inadecuado de solicitudes PUT parciales en Apache Tomcat. Esto permitiría a los atacantes remotos evadir restricciones de seguridad aprovechando equivalencias en rutas de archivos. Esta falla puede ser explotada para lograr ejecución remota de código, divulgación de información sensible, manipulación o sobrescritura de contenido.

Productos y versiones afectadas:

• Tomcat 9: Desde la versión 9.0.0-M1 hasta la 9.0.98
• Tomcat 10: Desde la versión 10.1.0-M1 hasta la 10.1.34
• Tomcat 11: Desde la versión 11.0.0-M1 hasta la 11.0.2

Solución

• Actualizar a Apache Tomcat versiones 9.0.99, 10.1.35 o 11.0.3, según corresponda.

Recomendaciones:

• Aplicar las actualizaciones proporcionadas por Apache Tomcat para corregir la vulnerabilidad.​
• Revisar y restringir los permisos de escritura por defecto.
• Deshabilitar el soporte para solicitudes PUT parciales si no es estrictamente necesario.
• Monitorizar los sistemas para detectar intentos de explotación o comportamiento anómalo relacionado con esta vulnerabilidad.
• Implementar soluciones de seguridad adicionales para bloquear posibles vectores de ataque

Referencias:

• https://www.darkreading.com/vulnerabilities-threats/apache-tomcat-rce-vulnerability-exploit
• https://www.vicarius.io/vsociety/posts/cve-2025-24813-mitigate-apache-tomcat-rce
• https://gbhackers.com/cisa-alerts-on-apache-tomcat-vulnerability/

• https://security.netapp.com/advisory/ntap-20250321-0001/
• https://www.cve.org/CVERecord?id=CVE-2025-24813

• https://www.tenable.com/cve/CVE-2025-24813