Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de ejecución remota de código en Apache Tomcat

Fecha de publicación 21/05/2020
Importancia
4 - Alta
Recursos Afectados

Apache Tomcat, versiones:

  • desde la 7.0.0, hasta la 7.0.103;
  • desde la 8.5.0, hasta la 8.5.54;
  • desde la 9.0.0.M1, hasta la 9.0.34;
  • desde la 10.0.0-M1, hasta la 10.0.0-M4.
Descripción

El investigador Jarvis Threedr3am, de pdd security research, ha reportado al equipo de seguridad de Apache Tomcat una vulnerabilidad de criticidad alta del tipo ejecución remota de código.

Solución

Actualizar Apache Tomcat a las siguientes versiones:

  • 7.0.104,
  • 8.5.55,
  • 9.0.35,
  • 10.0.0-M5.
Detalle

Un atacante remoto, que envíe una respuesta específicamente creada, podría realizar una ejecución remota de código mediante la deserialización del archivo bajo su control. Se ha asignado el identificador CVE-2020-9484 para esta vulnerabilidad.

Encuesta valoración