El fallo, identificado como CVE-2025-46701, afecta a múltiples versiones del popular servidor de aplicaciones Java y permite a un atacante evadir las restricciones configuradas bajo determinadas condiciones.
Vulnerabilidad en la implementación del servlet CGI
Apache Tomcat, uno de los servidores más utilizados para desplegar aplicaciones Java en entornos empresariales, se ha visto afectado por una vulnerabilidad en su implementación del servlet CGI. Según el aviso oficial publicado el 29 de mayo de 2025, el error radica en un manejo incorrecto de la sensibilidad a mayúsculas y minúsculas en el componente pathInfo de las URLs asociadas al CGI.
Este fallo permite que URLs especialmente manipuladas puedan sortear las restricciones de seguridad configuradas, en particular cuando Tomcat se ejecuta sobre sistemas de archivos no sensibles a mayúsculas/minúsculas (como puede ocurrir en entornos Windows o con ciertas configuraciones de almacenamiento).
Afecta solo a instalaciones con soporte CGI habilitado
La vulnerabilidad no afecta a todas las instalaciones de Tomcat por defecto, ya que el soporte para CGI viene deshabilitado en las versiones estándar. No obstante, aquellos entornos donde el CGI esté activado, ya sea por compatibilidad con aplicaciones heredadas o por necesidades específicas de desarrollo, podrían estar en riesgo.
Versiones afectadas
El fallo tiene un impacto amplio, abarcando tres ramas principales del proyecto Apache Tomcat:
- Tomcat 11: desde la versión 11.0.0-M1 hasta la 11.0.6
- Tomcat 10.1: desde la versión 10.1.0-M1 hasta la 10.1.40
- Tomcat 9: desde la versión 9.0.0-M1 hasta la 9.0.104
Esto implica que muchas instalaciones activas podrían ser vulnerables si cumplen los requisitos mencionados (CGI habilitado y restricciones aplicadas al pathInfo).
Solución y versiones corregidas
La Apache Software Foundation ha publicado parches para todas las versiones afectadas. Se recomienda actualizar inmediatamente a:
- Tomcat 11.0.7
- Tomcat 10.1.41
- Tomcat 9.0.105
Estas actualizaciones corrigen el tratamiento de la sensibilidad de mayúsculas en el CGI servlet, mitigando así el vector de ataque.
Recomendaciones para administradores de sistemas
Aunque la vulnerabilidad ha sido clasificada de baja gravedad, puede representar un riesgo significativo en entornos donde CGI esté en uso, especialmente si existen controles de acceso aplicados sobre rutas específicas.
Se recomienda:
- Auditar el uso de CGI en todos los despliegues activos.
- Desactivar el soporte CGI si no es estrictamente necesario.
- Actualizar Tomcat a las versiones corregidas cuanto antes.
- Revisar la configuración de restricciones de seguridad que dependen de
pathInfo. - Implementar pruebas automatizadas para detectar bypass de restricciones en URLs.
Descubrimiento responsable
La vulnerabilidad fue reportada por el investigador de seguridad Greg K, conocido por su labor en análisis de seguridad de middleware y servidores web. Este hallazgo refuerza la importancia de examinar incluso aquellas funcionalidades menos comunes o deshabilitadas por defecto, ya que su activación puntual puede introducir riesgos en sistemas de producción.
Conclusión
Este nuevo CVE sobre Apache Tomcat subraya la necesidad de mantener una gestión de configuración segura y controlada, incluso para módulos opcionales como CGI. Si bien su uso ha disminuido con el tiempo, aún está presente en aplicaciones heredadas o casos de uso muy específicos.
Los equipos de operaciones y seguridad deben mantenerse atentos a los avisos de seguridad del proyecto Tomcat y adoptar un enfoque proactivo en la desactivación de componentes innecesarios. La seguridad por defecto sigue siendo una de las mejores prácticas para reducir la superficie de ataque en cualquier entorno de producción.
fuente: cybersecuritynews
