Un defecto recientemente revelado en el motor Coyote de Apache Tomcat, acelerado como CVE-2025-53506, ha surgido en la última ronda de avisos de seguridad HTTP/2.
Se anotó por primera vez en la base de datos de vulnerabilidad nacional hace cinco días, la debilidad proviene de la falla de Coyote para hacer cumplir un límite duro en las transmisiones concurrentes cuando un cliente HTTP/2 nunca reconoce el marco de configuración inicial del servidor.
Al iniciar repetidamente las transmisiones que nunca están cerradas, un atacante remoto puede agotar el grupo de subprocesos del servidor y forzar el contenedor a un estado prolongado de denegación de servicio, a pesar de que la confidencialidad y la integridad no se ven afectadas.
Debido a que el exploit monta el tráfico ordinario de TCP Port 443, los firewalls no ven nada sospechoso; La complejidad del ataque sigue siendo baja y no se requieren credenciales.
Analistas de Github posteriormente rastreado El problema a una condición de carrera introducida durante el refactor que agregó límites de flujo dinámico, publicando capturas de tráfico de prueba de concepto que se estrellaron de manera confiable.
La vulnerabilidad afecta a cada rama mantenida: 11.0.0-M1 a 11.0.8, 10.1.0-m1 a 10.1.42 y 9.0.0.m1 a 9.0.106.
Apache ha lanzado versiones fijas 11.0.9, 10.1.43 y 9.0.107; Los administradores que no pueden actualizarse inmediatamente deben deshabilitar al menos HTTP/2 o limitar MaxConcurrentStreams en la capa de proxy inversa para evitar las interrupciones del servicio.
CVSS V4 califica el defecto 6.3, etiquetando la disponibilidad como alta al tiempo que deja otras métricas de impacto en ninguna, subrayando su perfil centrado en DOS.
Explotando el mecanismo de inundación de la corriente
En la práctica, el atacante posee una sola sesión de TLS abierta y buce la siguiente carga útil:-
Pri * http/2.0 \ r \ n \ r \ nsm \ r \ n \ r \ n; Conexión prefacada … Configuración (ACK omitido); Configuración del servidor Los encabezados ignorados end_stream = 0 …; Abrir Stream 1 encabezados end_stream = 0 …; Abra la transmisión 2 / * Repita hasta que la saturación de la piscina de hilo * /
Debido a que Tomcat asigna a un trabajador por flujo antes de recibir cualquier datos reales, cada flujo huérfano ata un hilo indefinidamente.
Una vez que la cola del Ejecutor maximiza, legítimamente solicita el tiempo de espera, sin dejar el sitio fuera de línea sin bloquear el JVM.
Los modernos proxies inversos que hacen cumplir un tiempo de espera de configuración o techo de flujo duro neutralizan el ataque, haciendo práctico la mitigación aguas arriba hasta la implementación de parche completo.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
