{"id":11396,"date":"2026-04-14T19:19:48","date_gmt":"2026-04-15T01:19:48","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11396"},"modified":"2026-04-14T19:24:05","modified_gmt":"2026-04-15T01:24:05","slug":"alerta-2026-35-vulnerabilidades-en-apache-tomcat-y-una-de-ellas-afecta-k8s","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-35-vulnerabilidades-en-apache-tomcat-y-una-de-ellas-afecta-k8s\/","title":{"rendered":"Alerta 2026-35 Vulnerabilidades Cr\u00edticas en Apache Tomcat y una de ellas afecta K8s"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Producto<\/strong><\/td><td><strong>Versiones Afectadas<\/strong><\/td><\/tr><tr><td><strong>Apache Tomcat 9<\/strong><\/td><td>9.0.13 \u2013 9.0.116<\/td><\/tr><tr><td><strong>Apache Tomcat 10<\/strong><\/td><td>10.1.0 \u2013 10.1.53<\/td><\/tr><tr><td><strong>Apache Tomcat 11<\/strong><\/td><td>11.0.0 \u2013 11.0.20<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se han reportado m\u00faltiples vulnerabilidades cr\u00edticas en Apache Tomcat, destacando CVE-2026-34486 (CVSS 9.1 &#8211; Cr\u00edtica) que permite bypass completo de cifrado, junto con CVE-2026-29146 (Alta) y CVE-2026-34487 (fuga de tokens Kubernetes). Estas afectan servidores Tomcat expuestos y han sido parcheadas recientemente tras un fix defectuoso en versiones intermedias.<\/p>\n\n\n\n<p>A continuaci\u00f3n se detallen los vulnerabilidades principales:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2026-34486 (CVSS 9.1 &#8211; Cr\u00edtica)<\/strong>: Bypass del EncryptInterceptor; un atacante manipula requests para evadir cifrado por completo. Afecta espec\u00edficamente 9.0.116, 10.1.53 y 11.0.20.<\/li>\n\n\n\n<li><strong>CVE-2026-29146 (CVSS 7.5 &#8211; Alta)<\/strong>: Padding Oracle en EncryptInterceptor permite descifrar datos sensibles v\u00eda ataques adaptativos. Cubre desde 9.0.13 hasta 9.0.116 (9.x), 10.1.0-M1 hasta 10.1.53 (10.x), 11.0.0-M1 hasta 11.0.20 (11.x).<\/li>\n\n\n\n<li><strong>CVE-2026-34487 (CVSS 7.5 &#8211; Alta)<\/strong>: es una vulnerabilidad de tipo\u00a0<strong>inserci\u00f3n de informaci\u00f3n sensible en archivos de log (CWE-532)<\/strong>\u00a0en el componente de\u00a0<em>cloud membership for clustering<\/em>\u00a0de Apache Tomcat. \u00a0\u00a0Cuando Tomcat est\u00e1 desplegado en un cl\u00faster de Kubernetes y usa este componente para el descubrimiento de miembros del cl\u00faster, el c\u00f3digo\u00a0<strong>registra en los logs el bearer token del service account de Kubernetes<\/strong>\u00a0que utiliza para hablar con la API del cluster. Ese\u00a0<strong>Kubernetes bearer token<\/strong>\u00a0deber\u00eda tratarse como secreto (equivalente a una credencial de servicio), pero termina escrito en ficheros como\u00a0catalina.out\u00a0o los logs configurados de la aplicaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2026-29145 (CVSS 9.1 \u2013 Cr\u00edtica)<\/strong>: Es una vulnerabilidad en Apache Tomcat y Tomcat Native donde, bajo ciertos escenarios, la autenticaci\u00f3n\u00a0<strong>CLIENT_CERT<\/strong>\u00a0no falla como deber\u00eda cuando la opci\u00f3n de\u00a0<em>soft fail<\/em>\u00a0est\u00e1 deshabilitada, lo que permite que certificados de cliente\u00a0<strong>inv\u00e1lidos o revocados<\/strong>\u00a0sean aceptados y consigan acceso a recursos que deber\u00edan estar protegidos por autenticaci\u00f3n mutua TLS.\u00a0<\/li>\n<\/ul>\n\n\n\n<p>Estas vulnerabilidades permiten la ejecuci\u00f3n remota de c\u00f3digo (RCE), la escalada de privilegios y el robo de credenciales en entornos productivos. Las versiones 9.0.116, 10.1.53 y 11.0.20 correg\u00edan la CVE-2026-29146, pero introdujeron la CVE-2026-34486, por lo que se recomienda actualizar de forma inmediata a las versiones 9.0.117, 10.1.54 o 11.0.21 (o superiores).<\/p>\n\n\n\n<p>Dado el alto nivel de exposici\u00f3n en entornos cloud y despliegues sobre Kubernetes, se recomienda priorizar las tareas de actualizaci\u00f3n en todos los servidores web Apache Tomcat expuestos a Internet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>La soluci\u00f3n recomendada consiste en actualizar Apache Tomcat a las versiones que corrigen estas vulnerabilidades: 9.0.117, 10.1.54 o 11.0.21 (o superiores), seg\u00fan la rama que se tenga instalada.<\/p>\n\n\n\n<p>Estas versiones ya incorporan los fixes para los problemas de cifrado, fuga de tokens y bypass de autenticaci\u00f3n, y est\u00e1n disponibles para su descarga directa desde el sitio oficial del proyecto Apache Tomcat, en las p\u00e1ginas de descargas de cada rama:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rama 9.0 <a href=\"https:\/\/tomcat.apache.org\/download-90.cgi\">https:\/\/tomcat.apache.org\/download-90.cgi<\/a><\/li>\n\n\n\n<li>Rama 10.0 <a href=\"https:\/\/tomcat.apache.org\/download-10.cgi\">https:\/\/tomcat.apache.org\/download-10.cgi<\/a><\/li>\n\n\n\n<li>Rama 11.0 https:\/\/tomcat.apache.org\/download-11.cgi<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/tomcat.apache.org\/security.html\">https:\/\/tomcat.apache.org\/security.html<\/a><\/li>\n\n\n\n<li>https:\/\/securityonline.info\/apache-tomcat-security-vulnerabilities-encryption-bypass-token-leak\/<\/li>\n<\/ul>\n","protected":false},"featured_media":10456,"template":"","class_list":["post-11396","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"35","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":2,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11396\/revisions"}],"predecessor-version":[{"id":11399,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11396\/revisions\/11399"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10456"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}