Se ha identificado una nueva vulnerabilidad de seguridad en la implementación del servlet CGI de Apache Tomcat. Esta podría permitir a atacantes eludir las restricciones de seguridad configuradas bajo condiciones específicas.
La vulnerabilidad, rastreada como CVE-2025-46701, fue divulgada el 29 de mayo de 2025 y afecta a varias versiones del popular servidor de aplicaciones Java. La falla se origina en un manejo inadecuado de la distinción entre mayúsculas y minúsculas dentro del servlet CGI de Apache Tomcat, impactando específicamente el componente pathInfo de las URL asignadas a dicho servlet.
Cuando Tomcat opera en sistemas de archivos que no distinguen entre mayúsculas y minúsculas y con restricciones de seguridad configuradas para el componente pathInfo, URL especialmente diseñadas pueden eludir estas medidas de protección. Aunque los investigadores de seguridad la han clasificado como de baja gravedad, representa una preocupación significativa para organizaciones que dependen de aplicaciones basadas en CGI con controles de acceso estrictos. Es importante destacar que esta vulnerabilidad afecta particularmente a entornos donde el soporte CGI está habilitado, ya que este se encuentra deshabilitado por defecto en las instalaciones de Tomcat.
La vulnerabilidad afecta a una amplia gama de versiones de Apache Tomcat en tres ramas de lanzamiento principales. Las versiones afectadas incluyen Apache Tomcat 11.0.0-M1 a 11.0.6, 10.1.0-M1 a 10.1.40 y 9.0.0-M1 a 9.0.104.
Esta amplia gama significa que numerosos entornos de producción podrían ser potencialmente vulnerables, en particular aquellos que han habilitado el soporte CGI para aplicaciones heredadas o flujos de trabajo de desarrollo específicos.
La Apache Software Foundation ha enfatizado que esta vulnerabilidad solo afecta a los sistemas donde se ha habilitado explícitamente la compatibilidad con CGI, ya que esta funcionalidad permanece deshabilitada de forma predeterminada en todas las versiones de Tomcat.
Las organizaciones que utilizan Tomcat principalmente para alojamiento de aplicaciones web estándar sin funcionalidad CGI no están expuestas a este vector de ataque en particular.
La Apache Software Foundation ha lanzado versiones parcheadas que abordan esta vulnerabilidad en todas las ramas afectadas. Las organizaciones deben actualizar a Apache Tomcat 11.0.7, 10.1.41 o 9.0.105, según su implementación actual.
Estas versiones actualizadas incluyen un manejo adecuado de distinción entre mayúsculas y minúsculas dentro de la implementación del servlet CGI.
La vulnerabilidad fue revelada responsablemente por el investigador de seguridad Greg K, cuyo perfil de GitHub indica experiencia en investigación de seguridad. Este descubrimiento subraya la importancia de la evaluación continua de la seguridad de los componentes de software ampliamente implementados, incluso para funciones que tal vez no se utilicen comúnmente en entornos de producción.
Los administradores del sistema deben evaluar inmediatamente sus implementaciones de Tomcat para determinar si el soporte CGI está habilitado y si se aplican restricciones de seguridad a los componentes de pathInfo.
Las organizaciones que utilizan la funcionalidad CGI deben priorizar la actualización a las versiones que han sido parcheadas. Aquellas que no requieren soporte CGI, por su parte, deben asegurarse de que este permanezca deshabilitado como una medida de seguridad adicional.
Para mantener implementaciones seguras de Apache Tomcat en entornos empresariales, es fundamental realizar auditorías de seguridad periódicas y mantenerse al día con los avisos de seguridad de los proveedores.
