{"id":1626133,"date":"2025-03-17T20:17:32","date_gmt":"2025-03-17T20:17:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-de-apache-tomcat-exploto-activamente-solo-30-horas-despues-de-la-divulgacion-publica\/"},"modified":"2025-03-17T20:17:37","modified_gmt":"2025-03-17T20:17:37","slug":"la-vulnerabilidad-de-apache-tomcat-exploto-activamente-solo-30-horas-despues-de-la-divulgacion-publica","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-de-apache-tomcat-exploto-activamente-solo-30-horas-despues-de-la-divulgacion-publica\/","title":{"rendered":"La vulnerabilidad de Apache Tomcat explot\u00f3 activamente solo 30 horas despu\u00e9s de la divulgaci\u00f3n p\u00fablica"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ seguridad web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/La-vulnerabilidad-de-Apache-Tomcat-exploto-activamente-solo-30-horas.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un defecto de seguridad recientemente revelado que afecta a Apache Tomcat ha sido objeto de una explotaci\u00f3n activa en la naturaleza luego de la publicaci\u00f3n de una prueba de concepto p\u00fablica (POC) apenas 30 horas despu\u00e9s de la divulgaci\u00f3n p\u00fablica.<\/p>\n<p>La vulnerabilidad, rastreada como <strong><a rel=\"noopener nofollow\" href=\"https:\/\/tomcat.apache.org\/security-11.html\" target=\"_blank\">CVE-2025-24813<\/a><\/strong>afecta las versiones a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li>Apache Tomcat 11.0.0-m1 a 11.0.2<\/li>\n<li>Apache Tomcat 10.1.0-m1 a 10.1.34<\/li>\n<li>Apache Tomcat 9.0.0-m1 a 9.0.98<\/li>\n<\/ul>\n<p>Se refiere a un caso de ejecuci\u00f3n de c\u00f3digo remoto o divulgaci\u00f3n de informaci\u00f3n cuando se cumplen condiciones espec\u00edficas &#8211;<\/p>\n<ul>\n<li>Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada)<\/li>\n<li>Soporte para PUT parcial (habilitado por defecto)<\/li>\n<li>Una URL objetivo para cargas sensibles a la seguridad que es un subdirectorio de una URL objetivo para cargas p\u00fablicas<\/li>\n<li>Conocimiento del atacante de los nombres de los archivos sensibles a la seguridad que se est\u00e1n cargando<\/li>\n<li>Los archivos sensibles a la seguridad tambi\u00e9n se est\u00e1n cargando a trav\u00e9s de PUT parcial<\/li>\n<\/ul>\n<p>La explotaci\u00f3n exitosa podr\u00eda permitir que un usuario malicioso vea archivos confidenciales de seguridad o inyecte contenido arbitrario en esos archivos mediante una solicitud de put.<\/p>\n<p>Adem\u00e1s, un atacante podr\u00eda lograr una ejecuci\u00f3n de c\u00f3digo remoto si todas las condiciones siguientes son verdaderas &#8211;<\/p>\n<ul>\n<li>Escrituras habilitadas para el servlet predeterminado (deshabilitado de forma predeterminada)<\/li>\n<li>Soporte para PUT parcial (habilitado por defecto)<\/li>\n<li>La aplicaci\u00f3n estaba utilizando la persistencia de la sesi\u00f3n basada en archivos de Tomcat con la ubicaci\u00f3n de almacenamiento predeterminada<\/li>\n<li>La aplicaci\u00f3n incluy\u00f3 una biblioteca que puede aprovecharse en un ataque de deserializaci\u00f3n<\/li>\n<\/ul>\n<p>En un aviso publicado la semana pasada, los mantenedores del proyecto <a rel=\"noopener nofollow\" href=\"https:\/\/lists.apache.org\/thread\/j5fkjv2k477os90nczf2v9l61fb0kkgq\" target=\"_blank\">dicho<\/a> La vulnerabilidad se ha resuelto en las versiones de Tomcat 9.0.99, 10.1.35 y 11.0.3.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pero en un giro preocupante, la vulnerabilidad ya est\u00e1 viendo intentos de explotaci\u00f3n en la naturaleza, seg\u00fan Wallarm.<\/p>\n<p>&#8220;Este ataque aprovecha el mecanismo de persistencia de la sesi\u00f3n predeterminada de Tomcat junto con su apoyo a las solicitudes de PUT parcial&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/lab.wallarm.com\/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;El exploit funciona en dos pasos: el atacante carga un archivo de sesi\u00f3n de Java serializado a trav\u00e9s de la solicitud.<\/p>\n<p>Dicho de manera diferente, los ataques implican enviar una solicitud de put que contiene una carga \u00fatil de Java con codificaci\u00f3n de Base64 que est\u00e1 escrita en el directorio de almacenamiento de la sesi\u00f3n de Tomcat, que posteriormente se ejecuta durante la deserializaci\u00f3n enviando una solicitud Get con el JSessionID apuntando a la sesi\u00f3n maliciosa.<\/p>\n<p>Wallarm tambi\u00e9n se\u00f1al\u00f3 que la vulnerabilidad es trivial a la explotaci\u00f3n y no requiere autenticaci\u00f3n. El \u00fanico requisito previo es que Tomcat usa el almacenamiento de sesi\u00f3n basado en archivos.<\/p>\n<p>&#8220;Si bien este exploit abusa de almacenamiento de la sesi\u00f3n, el problema m\u00e1s grande es el manejo parcial de poner en Tomcat, lo que permite cargar pr\u00e1cticamente cualquier archivo en cualquier lugar&#8221;, agreg\u00f3. &#8220;Los atacantes pronto comenzar\u00e1n a cambiar sus t\u00e1cticas, cargar archivos JSP maliciosos, modificar configuraciones y plantar puertas traseras fuera del almacenamiento de la sesi\u00f3n&#8221;.<\/p>\n<p>Se recomienda a los usuarios que ejecutan versiones afectadas de Tomcat que actualicen sus instancias lo antes posible para mitigar las posibles amenazas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/apache-tomcat-vulnerability-comes-under.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de marzo de 2025\ue804Ravie LakshmananVulnerabilidad \/ seguridad web Un defecto de seguridad recientemente revelado que afecta a<\/p>\n","protected":false},"author":1,"featured_media":1626134,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[5277,4657,4656,42964,4661,4664,755,5666,63071,411,273784,273783,4654,273782,4659,4653,4655,911,246983,4665,246984,2525,179314,455,4014,239484],"class_list":["post-1626133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-activamente","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apache","tag-ataques-ciberneticos","tag-como-hackear","tag-despues","tag-divulgacion","tag-exploto","tag-horas","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-publica","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-solo","tag-tomcat","tag-violacion","tag-vulnerabilidad","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1626133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1626133"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1626133\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1626134"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1626133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1626133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1626133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}