{"id":11092,"date":"2025-10-20T16:18:35","date_gmt":"2025-10-20T22:18:35","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11092"},"modified":"2025-10-20T16:18:36","modified_gmt":"2025-10-20T22:18:36","slug":"alerta-2025-88-vulnerabilidad-critica-en-apache-tomcat-de-ejecucion-remota-de-codigo","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-88-vulnerabilidad-critica-en-apache-tomcat-de-ejecucion-remota-de-codigo\/","title":{"rendered":"Alerta 2025-88 Vulnerabilidad cr\u00edtica en Apache Tomcat de ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Apache Tomcat versiones<ul><li><strong>11.0.0-M1 hasta 11.0.2,<\/strong><\/li><\/ul><ul><li><strong>10.1.0-M1 hasta 10.1.34,<\/strong><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><strong>9.0.0-M1 up to 9.0.98.<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Recientemente, la Apache Software Foundation revel\u00f3 la vulnerabilidad <strong>CVE-2025-24813<\/strong> en sus productos Apache Tomcat, un servidor de servlets Java muy utilizado para aplicaciones web Java. Esta vulnerabilidad permitir\u00eda a un atacante poder subir un archivo .session malicioso y luego provocar su deserializaci\u00f3n para ejecutar c\u00f3digo arbitrario, pero para esto se deben con condiciones espec\u00edficas.<\/p>\n\n\n\n<p>El problema ocurre cuando el servlet por defecto de Tomcat tiene habilitada la escritura (<em>writeEnabled<\/em>), algo que est\u00e1 <strong>desactivado por defecto<\/strong>, y el servidor admite solicitudes HTTP de tipo partial PUT (actualizaci\u00f3n parcial del recurso). Entonces, un atacante puede explotar la equivalencia de ruta para ver archivos sensibles, inyectar contenido o incluso lograr ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de un ataque de deserializaci\u00f3n.<\/p>\n\n\n\n<p>Para que se logre ejecuci\u00f3n de c\u00f3digo remoto, adem\u00e1s de escritura habilitada en el servlet y soporte partial PUT, se requieren de ciertos par\u00e1metros como que la aplicaci\u00f3n debe usar la persistencia de sesiones basada en archivos en la ubicaci\u00f3n por defecto de Tomcat, y debe existir una biblioteca vulnerable que permita la deserializaci\u00f3n maliciosa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>La principal soluci\u00f3n es actualizar a una versi\u00f3n de Apache Tomcat no vulnerable:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Para la rama 11.x: actualizar a <strong>11.0.3<\/strong> o posterior.<\/li>\n\n\n\n<li>Para la rama 10.1.x: actualizar a <strong>10.1.35<\/strong> o posterior.<\/li>\n\n\n\n<li>Para la rama 9.0.x: actualizar a <strong>9.0.99<\/strong> o posterior.<\/li>\n<\/ul>\n\n\n\n<p>Si no es posible actualizar de inmediato, se recomienda implementar mitigaciones adicionales:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Asegurarse de que el servlet por defecto <strong>no tenga habilitada la escritura<\/strong> (writeEnabled=\u00bbfalse\u00bb).<\/li>\n\n\n\n<li>Deshabilitar o bloquear solicitudes HTTP de tipo partial PUT si no se necesitan.<\/li>\n\n\n\n<li>Limitar la persistencia de sesiones en archivos, o bien cambiar a otro mecanismo que no dependa de archivos .session.<\/li>\n\n\n\n<li>Aplicar controles de acceso a nivel de red, como filtros que bloqueen solicitudes PUT hacia directorios p\u00fablicos.<\/li>\n\n\n\n<li>Monitorear los logs en busca de solicitudes PUT, de subida de archivos con nombres extra\u00f1os (por ejemplo archivos .session) o actividad de deserializaci\u00f3n sospechosa.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">&nbsp;<\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.rapid7.com\/blog\/post\/2025\/03\/19\/etr-apache-tomcat-cve-2025-24813-what-you-need-to-know\/\">https:\/\/www.rapid7.com\/blog\/post\/2025\/03\/19\/etr-apache-tomcat-cve-2025-24813-what-you-need-to-know\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-24813\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-24813<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.akamai.com\/blog\/security-research\/march-apache-tomcat-path-equivalence-traffic-detections-mitigations\">https:\/\/www.akamai.com\/blog\/security-research\/march-apache-tomcat-path-equivalence-traffic-detections-mitigations<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":10456,"template":"","class_list":["post-11092","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"88","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11092","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11092\/revisions"}],"predecessor-version":[{"id":11093,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11092\/revisions\/11093"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10456"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}