Avisos públicos

Todos los avisos > Security Notices > Vulnerabilidad de ejecución remota de código Apache Tomcat (CVE-2024-50379)

Vulnerabilidad de ejecución remota de código Apache Tomcat (CVE-2024-50379)

19 dic. 2024 GMT+08:00

I. Información general

Recientemente, Apache Tomcat publicó un aviso de seguridad con respecto a una vulnerabilidad de ejecución remota de código (CVE-2024-50379) en ciertas versiones. La vulnerabilidad surge de una falla en la verificación de las rutas de archivo. Si el servlet por defecto tiene habilitado la escritura (parámetro de inicialización de solo lectura establecido al valor de falso no por defecto) para un sistema de archivo no sensible a mayúsculas y minúsculas, la lectura y carga concurrente bajo la carga del mismo archivo puede evadir las revisiones de sensibilidad a mayúsculas y minúsculas de Tomcat y causar que un archivo cargado sea tratado como un JSP lo que lleva a la ejecución remota de código.

Apache Tomcat es un servidor popular de aplicaciones web Java. Si usted es un usuario de Apache Tomcat, verifique sus versiones e implemente las mejoras de seguridad de manera oportuna.

Referencia:

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Apache Tomcat 11.0.0-M1 ~ 11.0.1

Apache Tomcat 10.1.0-M1 ~ 10.1.33

Apache Tomcat 9.0.0.M1 ~ 9.0.97

Versiones seguras:

Apache Tomcat 11.0.2

Apache Tomcat 10.1.34

Apache Tomcat 9.0.98

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad ha sido solucionada en versiones oficiales posteriores. Si la versión de su servicio se encuentra dentro del rango afectado, instale la actualización segura más reciente.

Apache Tomcat 11: https://tomcat.apache.org/download-11.cgi

Apache Tomcat 10: https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9: https://tomcat.apache.org/download-90.cgi

Notas: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más