Producto(s) afectado(s):
- Apache Tomcat 11.0.0-M1 a 11.0.2
- Apache Tomcat 10.1.0-M1 a 10.1.34
- Apache Tomcat 9.0.0.M1 a 9.0.98
Descripción
Se ha reportado una vulnerabilidad grave denominada como CVE-2025-24813, aún sin score definido en Apache Tomcat, que podría permitir a los atacantes ejecutar código remoto RCE, divulgar información confidencial o corromper datos.
Apache Tomcat, un servidor web y contenedor de servlets de opensource ampliamente utilizado, es vulnerable a esta vulnerabilidad debido a una debilidad en su manejo de solicitudes (request HTTP) PUT parciales. Según el aviso, la implementación original de PUT parcial “utilizaba un archivo temporal basado en el nombre de archivo y la ruta proporcionados por el usuario con el separador de ruta reemplazado por ‘.’ (punto) ”.
La Apache Software Foundation ha emitido un aviso de seguridad urgente, instando a los usuarios de las versiones afectadas a actualizar de inmediato.
Mitigación
Si los desarrolladores o administradores no pueden actualizar, también se pueden aplicar las siguientes medidas temporalmente:
- Con la premisa de no afectar los servicios, los administradores pueden establecer el parámetro readonly en el archivo conf/web.xml como True.
- Deshabilite el método PUT y reinicie el servicio Tomcat para que la configuración surta efecto.
- Establezca org.apache.catalina.session.PersistentManager en False
Solución
La Apache Software Foundation recomienda que los usuarios de estas versiones apliquen una de las siguientes mitigaciones:
- Actualice a Apache Tomcat 11.0.3 o posterior .
- Actualice a Apache Tomcat 10.1.35 o posterior .
- Actualice a Apache Tomcat 9.0.99 o posterior .
Información adicional:
- https://securityonline.info/cve-2025-24813-flaw-in-apache-tomcat-exposes-servers-to-rce-data-leaks-update-immediately/
- https://nvd.nist.gov/vuln/detail/CVE-2025-24813
- https://nsfocusglobal.com/apache-tomcat-remote-code-execution-vulnerability-cve-2025-24813/