Síntesis
Se han descubierto dos vulnerabilidades de seguridad con gravedad “crítica” en el popular servidor web de código abierto desarrollado por Apache Software Foundation. Estas vulnerabilidades, si se explotan, podrían permitir a un atacante remoto ejecutar código arbitrario en los dispositivos de destino.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad objetivo: Crítico (75,38)
Tipología
- Remote Code Execution
Productos y versiones afectados
Apache Tomcat
- 9.x, desde la versión 9.0.0-M1 hasta la 9.0.97
- 10.x, desde la versión 10.1.0-M1 hasta la 10.1.33
- 11.x, desde la versión 11.0.0-M1 hasta la 11.0.1
Acciones de mitigación
De acuerdo con las declaraciones de los proveedores, se recomienda actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad reportado en la sección Referencias.
Referencias
https://lists.apache.org/thread/2bjnh3p78b89n5hw539hh31sr7tt7m22
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
