{"id":10455,"date":"2025-03-18T14:02:53","date_gmt":"2025-03-18T19:02:53","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10455"},"modified":"2025-03-18T14:02:54","modified_gmt":"2025-03-18T19:02:54","slug":"alerta-2025-19-fallo-de-tipo-rce-en-apache-tomcat","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-19-fallo-de-tipo-rce-en-apache-tomcat\/","title":{"rendered":"Alerta 2025-19 Fallo de tipo RCE en Apache Tomcat\u00a0"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Apache Tomcat 11.0.0-M1 a 11.0.2\u00a0<\/li>\n\n\n\n<li>Apache Tomcat 10.1.0-M1 a 10.1.34\u00a0<\/li>\n\n\n\n<li>Apache Tomcat 9.0.0.M1 a 9.0.98<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha&nbsp;reportado una vulnerabilidad grave denominada como&nbsp;<strong>CVE-2025-24813<\/strong>, a\u00fan sin score definido en Apache Tomcat, que podr\u00eda permitir a los atacantes ejecutar c\u00f3digo remoto RCE, divulgar informaci\u00f3n confidencial o corromper datos.&nbsp;<\/p>\n\n\n\n<p>Apache Tomcat, un servidor web y contenedor de servlets de opensource ampliamente utilizado, es vulnerable a esta vulnerabilidad debido a una debilidad en su manejo de solicitudes (request HTTP) PUT parciales. Seg\u00fan el aviso, la implementaci\u00f3n original de PUT parcial \u201cutilizaba un archivo temporal basado en el nombre de archivo y la ruta proporcionados por el usuario con el separador de ruta reemplazado por &#8216;.&#8217; (punto) \u201d.<\/p>\n\n\n\n<p>La Apache Software Foundation ha emitido un aviso de seguridad urgente, instando a los usuarios de las versiones afectadas a actualizar de inmediato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n<\/h2>\n\n\n\n<p>Si los desarrolladores o administradores no pueden actualizar, tambi\u00e9n se pueden aplicar las siguientes medidas temporalmente:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Con la premisa de no afectar los servicios, los administradores pueden establecer el par\u00e1metro\u00a0<strong>readonly<\/strong>\u00a0en el archivo\u00a0<strong>conf\/web.xml<\/strong>\u00a0como\u00a0<strong>True<\/strong>.<\/li>\n\n\n\n<li>Deshabilite el m\u00e9todo PUT y reinicie el servicio Tomcat para que la configuraci\u00f3n surta efecto.<\/li>\n\n\n\n<li>Establezca\u00a0<strong>org.apache.catalina.session.PersistentManager<\/strong>\u00a0en\u00a0<strong>False<\/strong><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n<\/h2>\n\n\n\n<p>La Apache Software Foundation recomienda que los usuarios de estas versiones apliquen una de las siguientes mitigaciones:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Actualice a Apache Tomcat\u00a0<a href=\"https:\/\/tomcat.apache.org\/download-11.cgi\" target=\"_blank\" rel=\"noreferrer noopener\">11.0.3 o posterior<\/a>\u00a0.<\/li>\n\n\n\n<li>Actualice a Apache Tomcat\u00a0<a href=\"https:\/\/tomcat.apache.org\/download-10.cgi\" target=\"_blank\" rel=\"noreferrer noopener\">10.1.35 o posterior<\/a>\u00a0.<\/li>\n\n\n\n<li>Actualice a Apache Tomcat\u00a0<a href=\"https:\/\/tomcat.apache.org\/download-90.cgi\" target=\"_blank\" rel=\"noreferrer noopener\">9.0.99 o posterior<\/a>\u00a0.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/securityonline.info\/cve-2025-24813-flaw-in-apache-tomcat-exposes-servers-to-rce-data-leaks-update-immediately\/\">https:\/\/securityonline.info\/cve-2025-24813-flaw-in-apache-tomcat-exposes-servers-to-rce-data-leaks-update-immediately\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-24813\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-24813<\/a><\/li>\n\n\n\n<li>https:\/\/nsfocusglobal.com\/apache-tomcat-remote-code-execution-vulnerability-cve-2025-24813\/<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":10456,"template":"","class_list":["post-10455","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":true,"pdf":10458,"numero_de_boletin":"19","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10455\/revisions"}],"predecessor-version":[{"id":10460,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10455\/revisions\/10460"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10456"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}