La Apache Software Foundation ha publicado varios parches de seguridad para Apache Tomcat que abordan tres vulnerabilidades recientemente descubiertas (CVE-2025-55752, CVE-2025-55754 y CVE-2025-61795) que afectan a las versiones de Tomcat 9, 10 y 11. La más grave, CVE-2025-55752, podría provocar la ejecución remota de código (RCE) si se cumplen ciertas condiciones.
El problema más crítico, CVE-2025-55752, surge de una regresión en la gestión de la reescritura de URL de Tomcat. Según el aviso, "La corrección del error 60013 introdujo una regresión donde la URL reescrita se normalizaba antes de ser decodificada. Esto generó la posibilidad de que, para las reglas de reescritura que reescriben los parámetros de consulta en la URL, un atacante pudiera manipular la URI de la solicitud para eludir las restricciones de seguridad, incluyendo la protección para /WEB-INF/ y /META-INF/".
Esta falla, para el cual ya existe una PoC, podría permitir a los atacantes eludir los controles de acceso y, en ciertas configuraciones, cargar archivos maliciosos mediante solicitudes HTTP PUT, lo que podría provocar la ejecución remota de código. Sin embargo, Apache señala que su explotación es improbable en configuraciones estándar, ya que "las solicitudes PUT normalmente se limitan a usuarios de confianza y se considera improbable que se habiliten junto con una reescritura que manipule la URI".
Otra falla, CVE-2025-55754, afecta a las instancias de Tomcat que se ejecutan en entornos Windows con consolas compatibles con secuencias de escape ANSI. El aviso explica: "Tomcat no escapó secuencias de escape ANSI en los mensajes de registro. Si Tomcat se ejecutaba en una consola en un sistema operativo Windows y esta admitía secuencias de escape ANSI, un atacante podía usar una URL especialmente diseñada para inyectar secuencias de escape ANSI y manipular la consola y el portapapeles, intentando engañar a un administrador para que ejecutara un comando controlado por el atacante".
Si bien no se identificó ningún vector de ataque directo, Apache advirtió que manipulaciones similares podrían haberse realizado en otros sistemas operativos.
La tercera vulnerabilidad, CVE-2025-61795, podría causar una denegación de servicio (DoS) durante la carga de archivos multiparte. Si se produce un error, como exceder el límite de tamaño de archivo, las copias temporales de los archivos cargados podrían no eliminarse inmediatamente.
Versiones afectadas:
- Tomcat 11.0.0-M1 a 11.0.10
- Tomcat 10.1.0-M1 a 10.1.44
- Tomcat 9.0.0.M11 a 9.0.108
Los usuarios deben actualizar a Tomcat 11.0.11, 10.1.45 o 9.0.109, donde el problema ya se ha solucionado.
Fuente: SecurityOnline