El ataque en dos pasos a Apache Tomcat le permite apoderarse de servidores sin contraseña

Ciberataques Apache Tomcat CVE-2025-24813 RCE PoC vulnerabilidad deserialización
El ataque en dos pasos a Apache Tomcat le permite apoderarse de servidores sin contraseña
Ciberataques Apache Tomcat CVE-2025-24813 RCE PoC vulnerabilidad deserialización

Se detectó una explotación masiva de CVE-2025-24813 apenas 30 horas después de su publicación.

image

Una vulnerabilidad recientemente descubierta en Apache Tomcat fue explotada activamente solo 30 horas después de su divulgación pública y la publicación del exploit PoC. La vulnerabilidad, identificada como CVE-2025-24813, afecta las siguientes versiones del servidor:

  • Apache Tomcat 11.0.0-M1 — 11.0.2;
  • Apache Tomcat 10.1.0-M1 — 10.1.34;
  • Apache Tomcat 9.0.0-M1 — 9.0.98.

El error está relacionado con la posibilidad de ejecución remota de código o divulgación de información en ciertas condiciones. En particular, la amenaza surge si la opción de escritura está habilitada para el servlet estándar (deshabilitada por defecto), se permite el soporte para solicitudes PUT parciales (habilitado por defecto) y el atacante tiene información sobre las rutas y nombres de los archivos cargados.

La explotación de esta vulnerabilidad permite a un atacante no solo ver archivos confidenciales, sino también inyectar contenido arbitrario en ellos a través de una solicitud PUT. Además, en determinadas circunstancias, es posible la ejecución de código arbitrario si el sistema utiliza sesiones de archivos de Tomcat por defecto y la aplicación contiene una biblioteca vulnerable a la deserialización.

Los desarrolladores de Apache Tomcat ya han lanzado correcciones en las versiones actualizadas 9.0.99, 10.1.35 y 11.0.3. Sin embargo, los expertos de Wallarm han detectado intentos activos de explotación de la vulnerabilidad en estado salvaje.

Según los investigadores, los atacantes utilizan un método de ataque en dos etapas: primero, se carga un archivo de sesión Java serializado mediante una solicitud PUT y luego se ejecuta una solicitud GET con el identificador de sesión (JSESSIONID), lo que conduce a la ejecución de código malicioso durante la deserialización.

Se señala que la explotación de esta vulnerabilidad no requiere autenticación y tiene un umbral de entrada extremadamente bajo. El único requisito es el uso del almacenamiento de sesiones de archivos de Tomcat.

Además, los expertos predicen que los atacantes pronto comenzarán a adaptar su táctica, sin limitarse a la manipulación de sesiones. Es posible que suban archivos JSP maliciosos, modifiquen configuraciones y coloquen puertas traseras fuera del área de almacenamiento de sesiones.

Se recomienda encarecidamente a los administradores de servidores Apache Tomcat que actualicen las versiones vulnerables lo antes posible para prevenir ataques.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

SAP encadena su segundo 0Day — la infraestructura de Fortune 500, al borde del colapso

El mundo casi se quedó sin CVE. La UE responde con su propio rastreador de vulnerabilidades y sus propias reglas

¿Quieres acceso barato a las funciones de inteligencia artificial de Cursor? Y ahora los hackers quieren… instalar una puerta trasera en tu Mac

Los hackers ponen a la venta 89 millones de perfiles de Steam. ¿Está el tuyo entre ellos?

Un contable abre una factura de Dropbox: hackers acceden a las finanzas de toda la empresa.

¿ClickFix para Linux? Ninguna defensa servirá si eres el enemigo

Ahora CISA envía alertas de vulnerabilidades por correo: quien no se suscribió, que no se queje

El último clavo en el ataúd de Intel: incluso los nuevos procesadores filtran datos sobre cualquier sistema operativo

El martes de parches corrige 72 vulnerabilidades, pero los días cero ya circulan por la web. El fallo en el kernel de Windows es especialmente peligroso.