Una falla de seguridad recientemente descubierta en Apache Tomcat está siendo explotada activamente, tras la publicación de un comunicado público prueba de concepto (PoC) sólo 30 horas después de su divulgación.
Versiones de Apache Tomcat afectadas
La vulnerabilidad, rastreado como CVE-2025-24813, Afecta a las siguientes versiones:
- Apache Tomcat 11.0.0-M1 a 11.0.2
- Apache Tomcat 10.1.0-M1 a 10.1.34
- Apache Tomcat 9.0.0-M1 a 9.0.98
Cómo funciona la vulnerabilidad
El problema surge de una combinación de factores, Incluido:
- Escrituras habilitadas para el servlet predeterminado (deshabilitado por defecto)
- Soporte para PUT parcial (habilitado por defecto)
- Una URL de destino para cargas sensibles a la seguridad ubicada dentro de un directorio de carga público
- Un atacante que tenga conocimiento de nombres de archivos sensibles a la seguridad
- Cargar archivos sensibles a la seguridad a través de PUT parcial
La explotación exitosa permite a los atacantes ver o modificar archivos confidenciales a través de solicitudes PUT. En determinadas condiciones, Los atacantes también pueden ejecutar código arbitrario.
ejecución remota de código (RCE) es posible si se cumplen las siguientes condiciones:
- Escrituras habilitadas para el servlet predeterminado
- Soporte para PUT parcial habilitado
- La aplicación utiliza Persistencia de sesión basada en archivos de Tomcat en la ubicación de almacenamiento predeterminada
- La aplicación incluye una biblioteca vulnerable a ataques de deserialización.
De acuerdo a Wallarm, Los atacantes explotan la vulnerabilidad mediante un proceso de dos pasos:
- El atacante carga un archivo de sesión Java serializado a través de una solicitud PUT.
- El atacante desencadena deserialización enviando una solicitud GET con un JSESSIONID que apunta a la sesión maliciosa.
El ataque utiliza una carga útil Java serializada codificada en Base64 escrita en el directorio de almacenamiento de la sesión de Tomcat., que luego se ejecuta durante la deserialización.
Gravedad e impactos potenciales
Wallarm señala que la vulnerabilidad es fácil de explotar y no requiere autenticación.. El riesgo principal radica en el manejo que hace Tomcat de las solicitudes PUT parciales, que permite a los atacantes cargar archivos JSP maliciosos, modificar configuraciones, y puertas traseras de plantas.
La vulnerabilidad ha sido parcheado en las siguientes versiones de Apache Tomcat:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Los usuarios que ejecuten versiones afectadas deben actualizar sus instancias de Tomcat inmediatamente para evitar la explotación..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: