Apache Tomcat ha abordado tres vulnerabilidades críticas de denegación de servicio (DOS) que podrían permitir a los actores maliciosos interrumpir las aplicaciones y servicios web.
Estos defectos de seguridad, rastreados como CVE-2025-52434, CVE-2025-52520 y CVE-2025-53506, afectan todas las versiones de Apache Tomcat de 9.0.0.m1 a 9.0.106.
Las vulnerabilidades explotan diferentes vectores de ataque, incluidas las debilidades del protocolo HTTP/2, los mecanismos de carga de archivos y las capacidades de manejo de la corriente.
Control de llave
1.
2. Explotaciones El objetivo del protocolo HTTP/2 con APR/Native, el desbordamiento del entero de carga de archivos y la creación excesiva de la secuencia HTTP/2.
3. Todas las vulnerabilidades se parcaron a través de compromisos específicos que implementan la validación y los límites de recursos adecuados.
4. Se requiere una actualización inmediata a la versión 9.0.107 ya que los exploits no necesitan autenticación.
Las organizaciones que ejecutan las versiones afectadas deben actualizarse inmediatamente a Apache Tomcat 9.0.107 para mitigar estos riesgos de seguridad y evitar posibles interrupciones en el servicio.
HTTP/2 y APR/defecto nativo (CVE-2025-52434)
La primera vulnerabilidad, CVE-2025-52434, representa una falla crítica en la implementación HTTP/2 de Apache Tomcat cuando se usa con el conector APR/nativo.
Esta vulnerabilidad permite a los atacantes desencadenar condiciones de denegación de servicio al explotar las debilidades en los mecanismos de manejo del protocolo HTTP/2.
El conector APR/nativo, que proporciona un rendimiento mejorado a través de la integración de la biblioteca nativa, se vuelve susceptible a los ataques de agotamiento de recursos al procesar solicitudes HTTP/2 malformadas o excesivas.
El equipo de seguridad dirigido Este problema a través de Commit 8A83C3C4, que implementa la validación adecuada y la gestión de recursos para las conexiones HTTP/2.
Los administradores del sistema que utilizan conectores APR/nativos con HTTP/2 habilitados deben priorizar esta actualización, ya que la vulnerabilidad puede explotarse de forma remota sin autenticación.
La solución introduce verificaciones de límites más estrictas y la gestión del ciclo de vida de la conexión para evitar escenarios de agotamiento de recursos.
Overflow entero en las cargas de archivo (CVE-2025-52520)
CVE-2025-52520 Explota condiciones de desbordamiento entero en el mecanismo de procesamiento de carga de archivos de Apache Tomcat.
Los atacantes pueden crear solicitudes maliciosas de datos multipartes/de forma con encabezados de contenido especialmente elaborados que activan vulnerabilidades de desbordamiento de enteros, potencialmente evitando las restricciones del tamaño del archivo y causando el agotamiento de la memoria.
Esta vulnerabilidad afecta las aplicaciones que manejan las cargas de archivos a través de contenedores de servlet. La remediación, implementada en COMME 927D66FB, introduce una validación de entrada sólida y la verificación de límites enteros adecuados para las operaciones de carga de archivos.
La solución garantiza que los parámetros MaxRequestSize y MaxFilesize se validen correctamente antes del procesamiento, evitando las condiciones de desbordamiento que podrían conducir a una asignación de memoria ilimitada.
Las aplicaciones web con la funcionalidad de carga de archivos deben implementar capas de validación adicionales en el nivel de aplicación como una estrategia de defensa en profundidad.
Corrientes HTTP/2 excesivos (CVE-2025-53506)
La tercera vulnerabilidad, CVE-2025-53506, permite a los atacantes abrumar a los servidores Apache Tomcat creando transmisiones HTTP/2 excesivas dentro de una sola conexión.
Este vector de ataque explota la función de multiplexación HTTP/2, donde se pueden procesar múltiples secuencias simultáneamente a través de una sola conexión TCP. Los clientes maliciosos pueden crear rápidamente numerosas flujos, agotando la memoria del servidor y el procesamiento de los recursos.
Commit 43477293 aborda esta vulnerabilidad mediante la implementación de limitaciones de conteo de flujo adecuadas y políticas de gestión de recursos.
Vulnerabilidad de cvesDescriptionSeverityCVE-2025-52434444444444444444444444
La fijación introduce parámetros configurables para flujos concurrentes máximos por conexión e implementa mecanismos de degradación elegantes cuando se abordan los límites.
Los administradores de la red deben configurar los valores apropiados para MaxCurrentsTreams y monitorear los patrones de conexión HTTP/2 para detectar el abuso potencial.
Las organizaciones que ejecutan las versiones afectadas de Apache Tomcat deben actualizarse inmediatamente a 9.0.107 y revisar sus configuraciones de seguridad para mitigar estas vulnerabilidades críticas.
Piense como un atacante, dominando la seguridad del punto final con Marcus Hutchins – Registrarse ahora
.webp?w=1600&resize=1600,900&ssl=1){kind=link}