CVE-2025-24813

El 10 de marzo de 2025, se reveló una vulnerabilidad crítica en Apache Tomcat, identificada como CVE-2025-24813, que afecta a las versiones 9.0.0.M1 a 9.0.98, 10.1.0-M1 a 10.1.34 y 11.0.0-M1 a 11.0.2. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código de forma remota en servidores afectados, lo que representa un riesgo significativo para la seguridad de las aplicaciones web que dependen de Tomcat.​NVD+7IONIX+7The Hacker News+7

Detalles de la vulnerabilidad

CVE-2025-24813 surge de una gestión inadecuada de la equivalencia de rutas al procesar nombres de archivos con puntos internos. Cuando Tomcat está configurado para permitir escrituras en el servlet predeterminado (deshabilitado por defecto) y soporta solicitudes PUT parciales (habilitado por defecto), un atacante puede explotar esta debilidad para realizar acciones no autorizadas. Específicamente, al subir archivos con nombres manipulados que contienen puntos internos, es posible eludir controles de seguridad y acceder o modificar archivos sensibles en el servidor. ​The Hacker News+2upwind.io+2IONIX+2XM Cyber

Impacto potencial

La explotación exitosa de esta vulnerabilidad puede conducir a:​

• Ejecución remota de código (RCE): Permite a los atacantes ejecutar comandos arbitrarios en el servidor afectado, lo que podría resultar en la toma de control total del sistema.​XM Cyber
• Divulgación de información: Acceso no autorizado a archivos sensibles, lo que podría exponer datos confidenciales.​
• Corrupción de datos: Modificación o eliminación de archivos críticos, afectando la integridad de la aplicación.​

Explotación activa y pruebas de concepto

Apenas 30 horas después de la divulgación pública, se observaron intentos activos de explotación de esta vulnerabilidad. Investigadores de seguridad detectaron que actores malintencionados estaban aprovechando esta falla para comprometer servidores Tomcat vulnerables. Además, se publicaron códigos de prueba de concepto (PoC) que facilitan la explotación, aumentando el riesgo de ataques generalizados. ​IONIX+4The Hacker News+4XM Cyber+4IONIX+2upwind.io+2eSentire+2The Hacker News+2eSentire+2Rapid7+2

Medidas de mitigación

Para proteger su entorno de esta amenaza, se recomienda:

1. Actualizar Apache Tomcat: Las versiones afectadas deben actualizarse a las versiones parcheadas:​
   • Tomcat 9.0.x: Actualizar a 9.0.99 o posterior.​The Hacker News+5IONIX+5XM Cyber+5
   • Tomcat 10.1.x: Actualizar a 10.1.35 o posterior.​The Hacker News+4Rapid7+4XM Cyber+4
   • Tomcat 11.0.x: Actualizar a 11.0.3 o posterior.​eSentire+4XM Cyber+4IONIX+4
2. Configurar el servlet predeterminado como de solo lectura: Asegúrese de que el parámetro readonly esté establecido en true en la configuración del servlet predeterminado para evitar escrituras no autorizadas.​upwind.io+1IONIX+1
3. Deshabilitar solicitudes PUT parciales: Modifique la configuración para deshabilitar el soporte de PUT parcial, reduciendo la superficie de ataque.​eSentire+3Rapid7+3The Hacker News+3
4. Revisar permisos de directorios: Evite colocar archivos sensibles en subdirectorios de rutas de carga públicas y revise regularmente los permisos de los directorios para garantizar que sean adecuados.​XM Cyber+1IONIX+1

Conclusión

CVE-2025-24813 destaca la importancia de mantener actualizados los componentes críticos de la infraestructura y de aplicar configuraciones de seguridad adecuadas. Dada la explotación activa de esta vulnerabilidad y la disponibilidad de PoC públicos, es imperativo que los administradores de sistemas tomen medidas inmediatas para mitigar los riesgos asociados y proteger sus entornos contra posibles ataques.