Vulnerabilidad en Apache Tomcat (CVE-2024-38286)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/11/2024
Última modificación:
11/02/2025
Descripción
Vulnerabilidad de asignación de recursos sin límites o limitación de recursos en Apache Tomcat. Este problema afecta a Apache Tomcat: desde la versión 11.0.0-M1 hasta la 11.0.0-M20, desde la versión 10.1.0-M1 hasta la 10.1.24, desde la versión 9.0.13 hasta la 9.0.89. También pueden verse afectadas versiones anteriores no compatibles. Se recomienda a los usuarios que actualicen a la versión 11.0.0-M21, 10.1.25 o 9.0.90, que soluciona el problema. Apache Tomcat, en determinadas configuraciones de cualquier plataforma, permite a un atacante provocar un error OutOfMemoryError abusando del proceso de enlace TLS.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 9.0.13 (incluyendo) | 9.0.90 (excluyendo) |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* | 10.1.1 (incluyendo) | 10.1.25 (excluyendo) |
| cpe:2.3:a:apache:tomcat:10.1.0:milestone1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone10:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone11:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone12:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone13:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone14:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone15:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone16:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone17:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone18:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone19:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone2:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:tomcat:10.1.0:milestone20:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página