Vulnerabilidad de ejecución remota de código en Apache Tomcat
Fecha de publicación 11/04/2019
Importancia
4 - Alta
Recursos Afectados
- Apache Tomcat en la plataforma Windows, versiones:
- Desde 7.0.0 hasta 7.0.93
- Desde 8.5.0 hasta 8.5.39
- Desde 9.0.0.M1 hasta 9.0.17
Descripción
Esta vulnerabilidad fue identificada por un investigador de seguridad externo. Posteriormente, el equipo de seguridad de Apache Tomcat fue informado a través del programa bug bounty patrocinado por el proyecto EU FOSSA-2 el 3 de marzo de 2019, y se publicó el 10 de abril de 2019.
Solución
- Actualizar a la versión 7.0.94 o superior.
- Actualizar a la versión 8.5.40 o superior.
- Actualizar a la versión 9.0.19 o superior.
Detalle
- Cuando se ejecuta en Windows con enableCmdLineArguments activado, el Servlet CGI es vulnerable a una ejecución remota de código (RCE) debido a un error en la forma en que el JRE pasa a Windows los argumentos de la línea de comandos. El Servlet CGI está deshabilitado por defecto. La opción de CGI enableCmdLineArguments está desactivada por defecto en Tomcat 9.0.x. Se ha asignado el identificador CVE-2019-0232 para esta vulnerabilidad.
Listado de referencias
Etiquetas