La Apache Software Foundation ha liberado diversos parches de seguridad para Apache Tomcat que abordan tres vulnerabilidades recientes (CVE-2025-55752, CVE-2025-55754 y CVE-2025-61795) que afectan las versiones 9, 10 y 11 de Tomcat.
La más crítica, CVE-2025-55752, podría permitir la ejecución remota de código (RCE) bajo ciertas condiciones.
La vulnerabilidad más seria, CVE-2025-55752, proviene de un error en la gestión de la reescritura de URL en Tomcat. De acuerdo con el aviso, «La corrección del error 60013 introdujo una regresión que normalizaba la URL reescrita antes de ser decodificada. Esto permitió que, en ciertas reglas de reescritura que modifican los parámetros de consulta, un atacante pudiera manipular la URI de la solicitud para eludir las restricciones de seguridad, incluyendo la protección de /WEB-INF/ y /META-INF/».
Esta falla, para la cual ya se ha desarrollado una PoC, podría permitir a los atacantes eludir controles de acceso y, en determinadas configuraciones, cargar archivos maliciosos mediante solicitudes HTTP PUT, lo que podría conducir a la ejecución remota de código. Sin embargo, Apache aclara que su explotación es poco probable en configuraciones estándar, ya que «las solicitudes PUT normalmente están restringidas a usuarios de confianza y se considera improbable que estén habilitadas junto con una reescritura que manipule la URI».
Otra vulnerabilidad, CVE-2025-55754, afecta a las instancias de Tomcat que funcionan en entornos Windows con consolas que soportan secuencias de escape ANSI. El aviso indica que «Tomcat no escapó las secuencias de escape ANSI en los mensajes de registro. Si Tomcat se ejecutaba en una consola en un sistema operativo Windows que admitiera estas secuencias, un atacante podía utilizar una URL diseñada para inyectarlas, manipular la consola y el portapapeles, intentando engañar a un administrador para que ejecutara un comando controlado por el atacante».
Aunque no se identificó un vector de ataque directo, Apache alertó que manipulaciones similares podrían llevarse a cabo en otros sistemas operativos.
La tercera vulnerabilidad, CVE-2025-61795, podría provocar una denegación de servicio (DoS) al cargar archivos multiparte. Si ocurre un error, como exceder el límite de tamaño de archivo, las copias temporales de los archivos cargados podrían no eliminarse de inmediato.
Versiones afectadas:
- Tomcat 11.0.0-M1 a 11.0.10
- Tomcat 10.1.0-M1 a 10.1.44
- Tomcat 9.0.0.M11 a 9.0.108
Los usuarios deben actualizar a Tomcat 11.0.11, 10.1.45 o 9.0.109, donde los problemas ya han sido subsanados.
Fuente:
SecurityOnline
Con Información de blog.segu-info.com.ar