Se ha descubierto una nueva vulnerabilidad de seguridad en la implementación del servlet CGI de Apache Tomcat que podría permitir a los atacantes eludir las restricciones de seguridad configuradas en determinadas circunstancias.
Esta vulnerabilidad afecta a una amplia gama de versiones de Apache Tomcat en tres ramas de lanzamiento principales. Las versiones afectadas incluyen Apache Tomcat 11.0.0-M1 a 11.0.6, 10.1.0-M1 a 10.1.40 y 9.0.0-M1 a 9.0.104.
La vulnerabilidad, designada CVE-2025-46701, se divulgó el 29 de mayo de 2025 y afecta a varias versiones del popular servidor de aplicaciones Java. La falla se debe a una gestión incorrecta de la distinción entre mayúsculas y minúsculas en el servlet CGI de Apache Tomcat, afectando específicamente al componente pathInfo de las URL asignadas a dicho servlet.
Cuando Tomcat opera en sistemas de archivos que no distinguen entre mayúsculas y minúsculas con restricciones de seguridad configuradas para el componente pathInfo, las URL especialmente diseñadas pueden eludir estas medidas de protección.
Los investigadores de seguridad han clasificado esta vulnerabilidad como de baja gravedad, aunque representa una preocupación importante para las organizaciones que utilizan aplicaciones basadas en CGI con estrictos controles de acceso. La vulnerabilidad afecta especialmente a entornos con compatibilidad con CGI habilitada, la cual está deshabilitada por defecto en las instalaciones de Tomcat.
La Fundación de Software Apache ha enfatizado que esta vulnerabilidad solo afecta a sistemas donde la compatibilidad con CGI se ha habilitado explícitamente, ya que esta funcionalidad permanece deshabilitada por defecto en todas las versiones de Tomcat. Las organizaciones que utilizan Tomcat principalmente para el alojamiento de aplicaciones web estándar sin funcionalidad CGI no están expuestas a este vector de ataque en particular.
La Fundación de Software Apache ha publicado versiones parcheadas que solucionan esta vulnerabilidad en todas las ramas afectadas. Las organizaciones deben actualizar a Apache Tomcat 11.0.7, 10.1.41 o 9.0.105, según su implementación actual. Estas versiones actualizadas incluyen un manejo adecuado de la distinción entre mayúsculas y minúsculas en la implementación del servlet CGI.
Los administradores de sistemas deben evaluar inmediatamente sus implementaciones de Tomcat para determinar si la compatibilidad con CGI está habilitada y si se aplican restricciones de seguridad a los componentes pathInfo. Las organizaciones que utilizan la funcionalidad CGI deben priorizar la actualización a las versiones parcheadas, mientras que aquellas que no la requieren deben asegurarse de que permanezca deshabilitada como medida de seguridad adicional.
Fuente: CyberSecurityNews