Síntesis
Se ha detectado una vulnerabilidad de seguridad, ya subsanada por el proveedor, en el conocido servidor web de código abierto desarrollado por la Apache Software Foundation. Esta vulnerabilidad podría aprovecharse para comprometer la disponibilidad del servicio en los sistemas afectados.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: MEDIO/AMARILLO (63,46/100)1.
Tipología
- Denial of Service
Productos y versiones afectados
Apache Tomcat
- 9.x, desde la versión 9.0.13 a 9.0.89
- 10.x, desde la versión 10.1.0-M1 a 10.1.24
- 11.x, desde la versión 11.0.0-M1 a 11.0.0-M20
Acciones de mitigación
En línea con lo indicado por el proveedor, se recomienda actualizar los productos vulnerables siguiendo las indicaciones del boletín de seguridad reportado en la sección Referencias.
Identificadores únicos de vulnerabilidad
Referencias
https://lists.apache.org/thread/wms60cvbsz3fpbz9psxtfx8r41jl6d4s
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-11.html
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
