Vulnerabilidad en Apache Tomcat Native (CVE-2026-24734)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

17/02/2026

Última modificación:

11/03/2026

Descripción

Vulnerabilidad de validación de entrada incorrecta en Apache Tomcat Native, Apache Tomcat. Al usar un respondedor OCSP, Tomcat Native (y el puerto FFM de Tomcat del código de Tomcat Native) no completó las verificaciones de verificación o frescura en la respuesta OCSP, lo que podría permitir que se eluda la revocación del certificado. Este problema afecta a Apache Tomcat Native: de 1.3.0 a 1.3.4, de 2.0.0 a 2.0.11; Apache Tomcat: de 11.0.0-M1 a 11.0.17, de 10.1.0-M7 a 10.1.51, de 9.0.83 a 9.0.114. Las siguientes versiones estaban al final de su vida útil (EOL) en el momento en que se creó el CVE, pero se sabe que están afectadas: de 1.1.23 a 1.1.34, de 1.2.0 a 1.2.39. Las versiones EOL más antiguas no están afectadas. Se recomienda a los usuarios de Apache Tomcat Native que actualicen a las versiones 1.3.5 o posteriores o 2.0.12 o posteriores, que solucionan el problema. Se recomienda a los usuarios de Apache Tomcat que actualicen a las versiones 11.0.18 o posteriores, 10.1.52 o posteriores o 9.0.115 o posteriores que solucionan el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:apache:tomcat::::::::	9.0.83 (incluyendo)	9.0.115 (excluyendo)
cpe:2.3:a:apache:tomcat::::::::	10.1.1 (incluyendo)	10.1.52 (excluyendo)
cpe:2.3:a:apache:tomcat::::::::	11.0.1 (incluyendo)	11.0.18 (excluyendo)
cpe:2.3:a:apache:tomcat:10.1.0:milestone1::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone10::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone11::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone12::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone13::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone14::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone15::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone16::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone17::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone18::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone19::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://lists.apache.org/thread/292dlmx3fz1888v6v16221kpozq56gml

CPE	Desde	Hasta
cpe:2.3:a:apache:tomcat::::::::	9.0.83 (incluyendo)	9.0.115 (excluyendo)
cpe:2.3:a:apache:tomcat::::::::	10.1.1 (incluyendo)	10.1.52 (excluyendo)
cpe:2.3:a:apache:tomcat::::::::	11.0.1 (incluyendo)	11.0.18 (excluyendo)
cpe:2.3:a:apache:tomcat:10.1.0:milestone1::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone10::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone11::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone12::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone13::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone14::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone15::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone16::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone17::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone18::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone19::::::
cpe:2.3:a:apache:tomcat:10.1.0:milestone2::::::