Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache Tomcat que está siendo explotada activamente.
Análisis
Identificada como CVE-2025-24813 (CVSS 9.8) ya está siendo activamente explotada en ataques cibernéticos, lo que representa un riesgo importante para los sistemas afectados.
La vulnerabilidad permite a los atacantes ejecutar código malicioso en los servidores vulnerables a través de una solicitud HTTP PUT manipulada, sin la necesidad de autenticación.
Esta vulnerabilidad fue identificada y publicada inicialmente en marzo de 2025 y ya ha sido aprovechada activamente en ataques dirigidos. La publicación de un código de explotación en foros públicos ha acelerado la propagación del uso de esta vulnerabilidad en la ciberdelincuencia.
Recursos afectados
Esta vulnerabilidad afecta principalmente a las siguientes versiones de Apache Tomcat:
- Apache Tomcat 9.0.0-M1 a 9.0.98
- Apache Tomcat 10.1.0-M1 a 10.1.34
- Apache Tomcat 11.0.0-M1 a 11.0.2
Los servicios web, plataformas y aplicaciones que dependen de Tomcat para la ejecución de aplicaciones Java están en riesgo, en especial aquellos que tienen configuraciones que permiten la carga de archivos de manera insegura a través de HTTP PUT.
Recomendaciones
- Actualizar a las versiones 9.0.99, 10.1.35 y 11.0.3 de Tomcat que solucionan dicha vulnerabilidad
- Deshabilitar HTTP PUT: Si no es necesario, considere deshabilitar el método HTTP PUT en el servidor para prevenir la explotación de esta vulnerabilidad.
- Monitorizar los logs de los registros del servidor en busca de solicitudes PUT sospechosas que puedan estar relacionadas con intentos de explotación.
Condiciones para una explotación exitosa
La explotación requiere múltiples configuraciones no predeterminadas para ser explotable, lo que limita significativamente su impacto en implementaciones típicas.
- Para la divulgación de información o la inyección de archivos, el ataque solo es posible si se dan las siguientes condiciones:
- Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada)
- Se admiten solicitudes PUT parciales (el soporte para PUT parcial está habilitado de forma predeterminada).
- La carga de archivos confidenciales se realiza dentro de un directorio con permisos de escritura públicos, es decir, se requiere de una URL de destino para cargas sensibles a la seguridad que era un subdirectorio de una URL de destino para cargas públicas.
- Conocimiento del atacante de los nombres de los archivos sensibles de seguridad que se están cargando
- Los archivos sensibles a la seguridad también se cargan mediante PUT parcial.
- Para la ejecución remota de código (RCE), la explotación requiere:
- Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada).
- Se admiten solicitudes PUT parciales (el soporte para PUT parcial está habilitado de forma predeterminada).
- La persistencia de sesión basada en archivos de Tomcat con la ubicación de almacenamiento predeterminada.
- Una biblioteca vulnerable a la deserialización.
- Para la divulgación de información o la inyección de archivos, el ataque solo es posible si se dan las siguientes condiciones:
Pueden encontrar mas información sobre esas condiciones principalmente en los siguientes enlaces:
Referencias
- https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild
- https://access.redhat.com/security/cve/cve-2025-24813
- https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks
- https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html
- https://www.darkreading.com/vulnerabilities-threats/apache-tomcat-rce-vulnerability-exploit
- https://www.securityweek.com/exploit-code-for-apache-tomcat-rce-vulnerability-published-on-chinese-forum
- https://securityaffairs.com/175522/security/threat-actors-rapidly-exploit-new-apache-tomcat-flaw-following-poc-release.html
- https://www.theregister.com/2025/03/18/apache_tomcat_java_rce_flaw