Se ha identificado una vulnerabilidad de seguridad crítica (CVE-2025-49763) en Apache Traffic Server. Esta falla permite a atacantes remotos iniciar ataques de denegación de servicio (DoS) al agotar la memoria del sistema. La vulnerabilidad reside específicamente en el complemento Edge Side Includes (ESI), lo que representa un riesgo considerable para las organizaciones que utilizan versiones afectadas de este popular servidor proxy de almacenamiento en caché HTTP.
El investigador de seguridad Yohann Sillam identificó la vulnerabilidad DoS remota en el componente de procesamiento ESI de Apache Traffic Server.
La vulnerabilidad se debe a controles de profundidad insuficientes en el mecanismo de inclusión del complemento ESI, lo que potencialmente permite a los atacantes crear solicitudes maliciosas que consumen recursos excesivos de memoria del servidor.
ESI es un lenguaje de marcado diseñado para abordar el problema del contenido web dinámico que cambia con frecuencia, lo que hace que esta vulnerabilidad sea particularmente preocupante para entornos de alto tráfico.
La vulnerabilidad CVE-2025-49763 permite a los atacantes explotar el procesamiento de inclusión del complemento ESI sin las limitaciones adecuadas, lo que genera escenarios de agotamiento de la memoria.
Cuando se activa, la vulnerabilidad puede hacer que Apache Traffic Server deje de responder o se bloquee por completo, negando efectivamente el servicio a usuarios legítimos.
Este tipo de vector de ataque es especialmente peligroso porque puede ejecutarse de forma remota sin requerir autenticación ni acceso privilegiado al sistema de destino.
Detalles de la vulnerabilidad:
- Productos afectados: Versiones de Apache Traffic Server 9.0.0 a 9.2.10 y 10.0.0 a 10.0.5.
- Impacto: Denegación remota de servicio (DoS).
- Requisitos: Complemento ESI habilitado, acceso de red a un servidor vulnerable, capacidad de enviar solicitudes HTTP/HTTPS diseñadas.
- Puntuación CVSS 3.1: 7,5 (alto).
La vulnerabilidad afecta a las versiones 9.0.0 a 9.2.10 y 10.0.0 a 10.0.5 de Apache Traffic Server.
Las organizaciones que ejecutan estas versiones en entornos de producción enfrentan el riesgo inmediato de interrupción del servicio. La Apache Software Foundation, el proveedor detrás de Apache Traffic Server, ha confirmado que todas las instalaciones dentro de este rango de versiones son susceptibles al ataque de agotamiento de la memoria.
El problema de seguridad se ve agravado por un problema adicional de la Lista de control de acceso (ACL) que se descubrió junto con la vulnerabilidad ESI.
Si bien los detalles específicos sobre el problema de ACL siguen siendo limitados, la combinación de ambas vulnerabilidades crea un panorama de seguridad más complejo para que los administradores naveguen.
La naturaleza dual de estas fallas de seguridad enfatiza la importancia crítica de los esfuerzos inmediatos de remediación.
Los usuarios de Apache Traffic Server deben actualizar inmediatamente a las siguientes versiones:
- Apache Traffic Server 9.x: parcheado en 9.2.11 y versiones posteriores.
- Apache Traffic Server 10.x: parcheado en 10.0.6 y versiones posteriores.
Sin embargo, la Apache Software Foundation señala que las nuevas versiones proporcionan configuraciones para mitigar los problemas en lugar de eliminarlos por completo, lo que requiere que los administradores implementen cambios de configuración adecuados.
Para las organizaciones que utilizan el complemento ESI, se introdujo un nuevo parámetro de configuración: profundidad de inclusión máxima con un valor predeterminado de 3.
Esta configuración limita la profundidad máxima de inclusión y evita escenarios de inclusión infinitos que podrían provocar el agotamiento de la memoria.
Los administradores deben configurar adecuadamente este parámetro, considerando sus casos de uso específicos y asegurando una protección efectiva contra posibles explotaciones.
La Apache Software Foundation aconseja a los usuarios evaluar el uso del complemento ESI e implementar las nuevas limitaciones de profundidad. Esto debe formar parte de sus procedimientos habituales de fortalecimiento de la seguridad.