Apache Tomcat, un popular servidor web de código abierto y contenedor de servlets, es fundamental para el alojamiento de aplicaciones Java. Presenta una vulnerabilidad crítica de omisión de autenticación (CVE-2024-52316) que puede permitir el acceso no autorizado en presencia de configuraciones específicas.
| Producto | Apache Tomcat |
| Fecha | 2024-11-25 15:21:18 |
| Información |
|
Resumen técnico
CVE-2024-52316 es una vulnerabilidad relacionada con el manejo de errores no controlados que afecta a las versiones de Tomcat:
- 11.0.0-M1 hasta la 11.0.0-M26
- 10.1.0-M1 hasta la 10.1.30
- 9.0.0-M1 hasta la 9.0.95
Si un componente personalizado Jakarta Authentication ServerAuthContext encuentra una excepción durante la autenticación pero no establece explícitamente un código de estado HTTP para el fallo, la autenticación podría tener éxito inadvertidamente, permitiendo el acceso no autorizado.
Aunque actualmente no se conocen componentes de Jakarta Authentication que presenten este comportamiento, los sistemas que utilizan implementaciones personalizadas están en riesgo. La vulnerabilidad ha sido corregida en las versiones de Tomcat 11.0.0, 10.1.31 y 9.0.96.
Recomendaciones
- Actualizar Apache Tomcat a las últimas versiones correctivas:
- 11.0.0 para los usuarios de la serie 11.x.
- 10.1.31 para los usuarios de la serie 10.x.
- 9.0.96 para los usuarios de la serie 9.x.
[Callforaction-THREAT-Footer]