{"id":10798,"date":"2025-06-19T10:06:14","date_gmt":"2025-06-19T16:06:14","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10798"},"modified":"2025-06-19T10:06:15","modified_gmt":"2025-06-19T16:06:15","slug":"alerta-2025-52-fallas-en-apache-tomcat-2","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-52-fallas-en-apache-tomcat-2\/","title":{"rendered":"Alerta 2025-52- Fallas en Apache Tomcat"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Apache Tomcat 9.0.0.M1 hasta 9.0.105<\/li>\n\n\n\n<li>Apache Tomcat 10.1.0-M1 hasta 10.1.41<\/li>\n\n\n\n<li>Apache Tomcat 11.0.0-M1 hasta 11.0.7<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>La Fundaci\u00f3n Apache ha revelado <strong>cuatro vulnerabilidades<\/strong> que afectan a diversas versiones del servidor Apache Tomcat etiquetadas como: <strong>CVE-2025-48976, CVE-2025-48988, CVE-2025-49124 y CVE-2025-49125<\/strong>. Estas fallas pueden causar desde denegaciones de servicio (DoS) hasta fallos de seguridad en la instalaci\u00f3n y omisi\u00f3n de restricciones de acceso.<\/p>\n\n\n\n<p>A continuaci\u00f3n, se describen brevemente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-48976 (7.5) \u2013 DoS por encabezados grandes:<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Un atacante puede enviar solicitudes con muchos encabezados grandes para consumir memoria del servidor y hacerlo caer (DoS).<br><em><u>Soluci\u00f3n:<\/u>:<\/em> ahora se puede limitar el tama\u00f1o de encabezado con el par\u00e1metro maxPartHeaderSize (por defecto 512 bytes).<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-48988 (7.5) \u2013 DoS por n\u00famero excesivo de partes:<\/strong><\/li>\n<\/ul>\n\n\n\n<p>El atacante abusa del n\u00famero de partes en una carga para agotar la memoria compartida y causar una ca\u00edda del sistema.<br><em><u>Soluci\u00f3n:<\/u>:<\/em> se ha a\u00f1adido el par\u00e1metro maxPartCount, que limita a 10 partes por defecto.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-49124 (8.4) \u2013 Riesgo de carga lateral en Windows:<\/strong><\/li>\n<\/ul>\n\n\n\n<p>El instalador usaba icacls.exe sin ruta completa, lo que permit\u00eda ejecutar un archivo malicioso con ese nombre.<br><em>Riesgo bajo, pero relevante en entornos manipulables.<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-49125 (7.5) \u2013 Omisi\u00f3n de restricciones de seguridad:<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Si una aplicaci\u00f3n web usa recursos previos o posteriores montados fuera de la ra\u00edz, un atacante puede acceder a ellos salt\u00e1ndose las reglas de seguridad.<br><em>Riesgo moderado.<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Se recomienda <strong>actualizar Apache Tomcat<\/strong> a la versi\u00f3n m\u00e1s reciente seg\u00fan corresponda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Apache Tomcat 11.0.8 o posterior<\/strong><\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-embed\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/tomcat.apache.org\/download-11.cgi\n<\/div><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Apache Tomcat 10.1.42 o posterior<\/strong><\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-embed\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/tomcat.apache.org\/download-10.cgi\n<\/div><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Apache Tomcat 9.0.106 o posterior<\/strong><\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-embed\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/tomcat.apache.org\/download-90.cgi\n<\/div><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/securityonline.info\/apache-tomcat-patches-4-flaws-dos-privilege-bypass-installer-risks-addressed\/\">https:\/\/securityonline.info\/apache-tomcat-patches-4-flaws-dos-privilege-bypass-installer-risks-addressed\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/lists.apache.org\/thread\/0jwb3d3sjyfk5m6xnnj7h9m7ngxz23db\">https:\/\/lists.apache.org\/thread\/0jwb3d3sjyfk5m6xnnj7h9m7ngxz23db<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":10456,"template":"","class_list":["post-10798","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10798\/revisions"}],"predecessor-version":[{"id":10799,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10798\/revisions\/10799"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10456"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}