CVE-2025-55752 y CVE-2025-55754: Vulnerabilidades de Apache Tomcat Exponen Servidores a Ataques RCE
Tabla de contenidos:
En marzo de 2025, CVE-2025-24813 sirvió como un recordatorio contundente de lo rápidamente que una vulnerabilidad crítica de Apache Tomcat puede convertirse en una amenaza activa. Menos de 30 horas después de su divulgación, los atacantes ya estaban explotando la deserialización insegura para ejecutar código de manera remota, tomando control de servidores no parcheados. Ahora, solo meses después, un dúo de nuevas vulnerabilidades (CVE-2025-55752, CVE-2025-55754) han salido a la luz, abriendo nuevamente la puerta a ataques RCE.
Apache Tomcat es un contenedor de servlets Java de código abierto gratuito que aloja aplicaciones web basadas en Java e implementa especificaciones de Java Servlet y JavaServer Pages (JSP). Impulsa cientos de miles de sitios web y sistemas empresariales en todo el mundo, incluidas agencias gubernamentales, grandes corporaciones e infraestructuras críticas. Sin embargo, tal uso generalizado de software de código abierto trae consigo un serio nivel de preocupación. Según el Informe de Análisis de Seguridad y Riesgo de Código Abierto 2025 (OSSRA), el 86% de las bases de código comerciales evaluadas contenían vulnerabilidades de software de código abierto, y el 81% de esas contenían vulnerabilidades de riesgo alto o crítico.
Regístrese en la Plataforma de SOC Prime para acceder al feed global de amenazas activas, que ofrece inteligencia en tiempo real sobre amenazas cibernéticas y algoritmos de detección seleccionados para abordar amenazas emergentes, como fallos en el software de código abierto. Todas las reglas son compatibles con múltiples formatos SIEM, EDR y Data Lake y están mapeadas en el marco MITRE ATT&CK® . Además, cada regla está enriquecida con CTI enlaces, cronogramas de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presione el botón Explore Detections para ver el conjunto completo de detección para una defensa proactiva contra vulnerabilidades críticas filtradas por la etiqueta “CVE”.
Además, los expertos en seguridad pueden simplificar la investigación de amenazas utilizando Uncoder AI, un IDE privado y copiloto para la ingeniería de detección informada por amenazas. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC, prediga etiquetas ATT&CK, optimice el código de consultas con consejos de IA y tradúzcalo a través de múltiples lenguajes SIEM, EDR y Data Lake.
Análisis de CVE-2025-55752 y CVE-2025-55754
El 27 de octubre de 2025, la Fundación Apache Software confirmó dos nuevas vulnerabilidades que afectan las versiones 9, 10 y 11 de Apache Tomcat.
De los dos fallos reportados recientemente, CVE-2025-55752 se considera el más grave, obteniendo una calificación de “Importante”. Esta vulnerabilidad surgió de una regresión durante la resolución de un error anterior (bug 60013) y permite a los atacantes explotar la exposición de directorios a través de URLs reescritos. Al crear URIs de solicitud que se normalizan antes de decodificarse, los actores maliciosos pueden potencialmente eludir las protecciones integradas de Tomcat para directorios críticos, incluyendo /WEB-INF/ and /META-INF/. El riesgo se incrementa si las solicitudes HTTP PUT están habilitadas, ya que los atacantes podrían cargar archivos maliciosos, lo que potencialmente podría llevar a la ejecución remota de código en el servidor. Sin embargo, en la mayoría de las configuraciones de producción, las solicitudes PUT están restringidas a usuarios de confianza, lo que limita la probabilidad de explotación inmediata.
El segundo fallo, CVE-2025-55754, tiene una calificación de severidad “Bajo” pero sigue siendo significativo. Se origina en un manejo inadecuado de las secuencias de escape ANSI en los registros de consola de Tomcat. Al ejecutarse en un entorno de consola (particularmente en sistemas Windows), los atacantes pueden enviar URLs especialmente diseñadas que inyectan secuencias de escape en la salida del registro. Estas secuencias pueden manipular la pantalla de la consola o el contenido del portapapeles, creando oportunidades para engañar a los administradores para ejecutar acciones no deseadas. Aunque principalmente se observa en Windows, podrían existir vectores de ataque similares en otras plataformas, ampliando el impacto potencial de esta vulnerabilidad.
Mitigación de CVE-2025-55752 y CVE-2025-55754
Las vulnerabilidades afectan a las versiones de Apache Tomcat 11.0.0-M1 a 11.0.10, 10.1.0-M1 a 10.1.44 y 9.0.0-M11 a 9.0.108, además de algunas versiones EOL como 8.5.60 a 8.5.100.
Para abordar estos problemas, los administradores deben actualizar a las versiones parcheadas—Tomcat 11.0.11, 10.1.45 y 9.0.109—y verificar todas las instancias desplegadas para asegurarse de que no se sigan usando versiones afectadas.
Las medidas de mitigación adicionales incluyen deshabilitar o restringir las solicitudes HTTP PUT a menos que sean estrictamente necesarias, revisar la configuración de consola y de registros (especialmente en sistemas Windows), y monitorear activamente en busca de actividades inusuales, como cargas de archivos inesperadas o entradas de registro sospechosas. Al tomar estos pasos, las organizaciones pueden reducir significativamente el riesgo de explotación y mantener la seguridad y estabilidad de sus aplicaciones web y infraestructuras críticas.
Mejorar las estrategias de defensa cibernética proactiva es crucial para que las organizaciones reduzcan de manera efectiva y oportuna los riesgos de explotación de vulnerabilidades. Al aprovechar la suite completa de productos de SOC Prime para protección de seguridad lista para la empresa respaldada por la mejor experiencia en ciberseguridad y IA, y construida sobre hitos de confianza cero , las organizaciones globales pueden proteger defensas a gran escala para el futuro y fortalecer su postura de ciberseguridad.
