Seguir 
En marzo de 2025, CVE-2025-24813 sirviĂł como un recordatorio contundente de lo rápidamente que una vulnerabilidad crĂtica de Apache Tomcat puede convertirse en una amenaza activa. Menos de 30 horas despuĂ©s de su divulgaciĂłn, los atacantes ya estaban explotando la deserializaciĂłn insegura para ejecutar cĂłdigo de manera remota, tomando control de servidores no parcheados. Ahora, solo meses despuĂ©s, un dĂşo de nuevas vulnerabilidades (CVE-2025-55752, CVE-2025-55754) han salido a la luz, abriendo nuevamente la puerta a ataques RCE.
Apache Tomcat es un contenedor de servlets Java de cĂłdigo abierto gratuito que aloja aplicaciones web basadas en Java e implementa especificaciones de Java Servlet y JavaServer Pages (JSP). Impulsa cientos de miles de sitios web y sistemas empresariales en todo el mundo, incluidas agencias gubernamentales, grandes corporaciones e infraestructuras crĂticas. Sin embargo, tal uso generalizado de software de cĂłdigo abierto trae consigo un serio nivel de preocupaciĂłn. SegĂşn el Informe de Análisis de Seguridad y Riesgo de CĂłdigo Abierto 2025 (OSSRA), el 86% de las bases de cĂłdigo comerciales evaluadas contenĂan vulnerabilidades de software de cĂłdigo abierto, y el 81% de esas contenĂan vulnerabilidades de riesgo alto o crĂtico.
RegĂstrese en la Plataforma de SOC Prime para acceder al feed global de amenazas activas, que ofrece inteligencia en tiempo real sobre amenazas cibernĂ©ticas y algoritmos de detecciĂłn seleccionados para abordar amenazas emergentes, como fallos en el software de cĂłdigo abierto. Todas las reglas son compatibles con mĂşltiples formatos SIEM, EDR y Data Lake y están mapeadas en el marco MITRE ATT&CK® . Además, cada regla está enriquecida con CTI enlaces, cronogramas de ataques, configuraciones de auditorĂa, recomendaciones de triaje y más contexto relevante. Presione el botĂłn Explore Detections para ver el conjunto completo de detecciĂłn para una defensa proactiva contra vulnerabilidades crĂticas filtradas por la etiqueta “CVE”.
Además, los expertos en seguridad pueden simplificar la investigaciĂłn de amenazas utilizando Uncoder AI, un IDE privado y copiloto para la ingenierĂa de detecciĂłn informada por amenazas. Genere algoritmos de detecciĂłn a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC, prediga etiquetas ATT&CK, optimice el cĂłdigo de consultas con consejos de IA y tradĂşzcalo a travĂ©s de mĂşltiples lenguajes SIEM, EDR y Data Lake.
Análisis de CVE-2025-55752 y CVE-2025-55754
El 27 de octubre de 2025, la FundaciĂłn Apache Software confirmĂł dos nuevas vulnerabilidades que afectan las versiones 9, 10 y 11 de Apache Tomcat.
De los dos fallos reportados recientemente, CVE-2025-55752 se considera el más grave, obteniendo una calificaciĂłn de “Importante”. Esta vulnerabilidad surgiĂł de una regresiĂłn durante la resoluciĂłn de un error anterior (bug 60013) y permite a los atacantes explotar la exposiciĂłn de directorios a travĂ©s de URLs reescritos. Al crear URIs de solicitud que se normalizan antes de decodificarse, los actores maliciosos pueden potencialmente eludir las protecciones integradas de Tomcat para directorios crĂticos, incluyendo /WEB-INF/ and /META-INF/. El riesgo se incrementa si las solicitudes HTTP PUT están habilitadas, ya que los atacantes podrĂan cargar archivos maliciosos, lo que potencialmente podrĂa llevar a la ejecuciĂłn remota de cĂłdigo en el servidor. Sin embargo, en la mayorĂa de las configuraciones de producciĂłn, las solicitudes PUT están restringidas a usuarios de confianza, lo que limita la probabilidad de explotaciĂłn inmediata.
El segundo fallo, CVE-2025-55754, tiene una calificaciĂłn de severidad “Bajo” pero sigue siendo significativo. Se origina en un manejo inadecuado de las secuencias de escape ANSI en los registros de consola de Tomcat. Al ejecutarse en un entorno de consola (particularmente en sistemas Windows), los atacantes pueden enviar URLs especialmente diseñadas que inyectan secuencias de escape en la salida del registro. Estas secuencias pueden manipular la pantalla de la consola o el contenido del portapapeles, creando oportunidades para engañar a los administradores para ejecutar acciones no deseadas. Aunque principalmente se observa en Windows, podrĂan existir vectores de ataque similares en otras plataformas, ampliando el impacto potencial de esta vulnerabilidad.
MitigaciĂłn de CVE-2025-55752 y CVE-2025-55754
Las vulnerabilidades afectan a las versiones de Apache Tomcat 11.0.0-M1 a 11.0.10, 10.1.0-M1 a 10.1.44 y 9.0.0-M11 a 9.0.108, además de algunas versiones EOL como 8.5.60 a 8.5.100.
Para abordar estos problemas, los administradores deben actualizar a las versiones parcheadas—Tomcat 11.0.11, 10.1.45 y 9.0.109—y verificar todas las instancias desplegadas para asegurarse de que no se sigan usando versiones afectadas.
Las medidas de mitigaciĂłn adicionales incluyen deshabilitar o restringir las solicitudes HTTP PUT a menos que sean estrictamente necesarias, revisar la configuraciĂłn de consola y de registros (especialmente en sistemas Windows), y monitorear activamente en busca de actividades inusuales, como cargas de archivos inesperadas o entradas de registro sospechosas. Al tomar estos pasos, las organizaciones pueden reducir significativamente el riesgo de explotaciĂłn y mantener la seguridad y estabilidad de sus aplicaciones web y infraestructuras crĂticas.
Mejorar las estrategias de defensa cibernética proactiva es crucial para que las organizaciones reduzcan de manera efectiva y oportuna los riesgos de explotación de vulnerabilidades. Al aprovechar la suite completa de productos de SOC Prime para protección de seguridad lista para la empresa respaldada por la mejor experiencia en ciberseguridad y IA, y construida sobre hitos de confianza cero , las organizaciones globales pueden proteger defensas a gran escala para el futuro y fortalecer su postura de ciberseguridad.
