Vulnerabilidades críticas en Apache Tomcat permiten ejecución remota de código y exposición de información sensible

SeguridadNoticias

Published:

Reading time: 3 min.

El proyecto Apache publicó actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades críticas en Apache Tomcat que podrían permitir desde ejecución remota de código (RCE) hasta filtración de información sensible y bypass de restricciones de seguridad. Debido a la amplia adopción de Tomcat en entornos empresariales, aplicaciones Java y plataformas middleware, el impacto potencial es considerable, especialmente en infraestructuras expuestas a Internet.

Las fallas afectan distintas ramas soportadas de Apache Tomcat y ya comenzaron a ser analizadas públicamente por investigadores de seguridad, por lo que se recomienda actualizar inmediatamente los servidores afectados.

Vulnerabilidades corregidas en Apache Tomcat

Entre las vulnerabilidades más relevantes corregidas se encuentran:

CVE

Severidad

Impacto

CVE-2026-29068

Crítica

Ejecución remota de código

CVE-2026-29069

Alta

Divulgación de información

CVE-2026-29070

Alta

Bypass de restricciones de seguridad

Las vulnerabilidades afectan distintas funcionalidades internas relacionadas con:

  • Procesamiento de peticiones HTTP
  • Manejo de sesiones
  • JSP compilation
  • Recursos estáticos
  • Configuraciones AJP y Proxy
  • Validación de rutas y accesos

Según el equipo de Apache, algunos escenarios podrían permitir que un atacante remoto no autenticado ejecute código arbitrario bajo ciertas configuraciones vulnerables. Otros fallos permiten acceso indebido a archivos o evasión de controles de autenticación.

Fuente oficial:

Apache Tomcat Security Advisories

Versiones afectadas

Las ramas afectadas incluyen:

  • Apache Tomcat 11.x
  • Apache Tomcat 10.1.x
  • Apache Tomcat 9.0.x

Las versiones corregidas publicadas son:

Rama

Versión corregida

11.x

11.0.9

10.1.x

10.1.42

9.0.x

9.0.106

Se recomienda verificar inmediatamente la versión instalada ejecutando:

catalina.sh version

o:

java -jar lib/catalina.jar version

Riesgos reales para entornos productivos

Apache Tomcat continúa siendo uno de los servidores Java más utilizados en:

  • Aplicaciones empresariales
  • APIs internas
  • Plataformas bancarias
  • Middleware corporativo
  • Soluciones cloud híbridas
  • Herramientas DevOps y monitoreo

Una explotación exitosa podría permitir:

  • Compromiso total del servidor
  • Robo de credenciales
  • Movimiento lateral dentro de la red
  • Despliegue de malware
  • Instalación de webshells
  • Acceso a aplicaciones internas

El riesgo aumenta considerablemente cuando Tomcat:

  • Está expuesto directamente a Internet
  • Usa configuraciones AJP inseguras
  • Ejecuta aplicaciones antiguas
  • Tiene permisos excesivos sobre el sistema
  • Comparte host con otros servicios críticos

Cómo actualizar Apache Tomcat

La actualización debe realizarse descargando las versiones oficiales desde:

Apache Tomcat DownloadsAttachment.tiff

Procedimiento recomendado

  1. Realizar backup completo:
    • aplicaciones
    • configuración
    • certificados
    • logs
  2. Validar compatibilidad de aplicaciones Java.
  3. Descargar la versión corregida.
  4. Reemplazar binarios de Tomcat.
  5. Revisar:
    • server.xml
    • context.xml
    • web.xml
    • configuraciones AJP
  6. Reiniciar servicios y validar logs.

Recomendaciones de hardening

Además de actualizar, es recomendable aplicar medidas adicionales de seguridad:

Restringir AJP

Deshabilitar AJP si no es necesario:

<!-- Deshabilitar AJP -->
<!--
<Connector protocol="AJP/1.3"
           address="::1"
           port="8009"
           redirectPort="8443" />
-->

Limitar exposición pública

Idealmente Tomcat no debería exponerse directamente a Internet. Utilizar:

  • Nginx
  • Apache HTTP Server
  • HAProxy

como reverse proxy.

Ejecutar con usuario restringido

Nunca ejecutar Tomcat como root.

Aplicar headers de seguridad

Configurar:

  • CSP
  • HSTS
  • X-Frame-Options
  • X-Content-Type-Options

Monitorear accesos sospechosos

Revisar:

  • catalina.out
  • access logs
  • errores JSP
  • intentos de path traversal
  • despliegues inesperados

Impacto para equipos DevOps y SRE

Esta nueva ronda de vulnerabilidades vuelve a demostrar un problema recurrente en infraestructuras Java empresariales: muchas organizaciones mantienen versiones legacy de Tomcat durante años sin aplicar upgrades frecuentes debido a dependencias internas.

Para equipos SRE y DevOps es recomendable:

  • Automatizar escaneo de versiones vulnerables
  • Integrar validaciones en CI/CD
  • Mantener inventario de middleware
  • Implementar patch management continuo
  • Utilizar imágenes container actualizadas
  • Aplicar políticas de zero trust internas

Conclusión

Las nuevas vulnerabilidades críticas en Apache Tomcat representan una amenaza seria para aplicaciones Java empresariales y servidores expuestos. Debido al potencial de ejecución remota de código y exposición de información sensible, la actualización inmediata debe considerarse prioritaria.

Los administradores deberían verificar versiones activas, aplicar los parches oficiales y revisar configuraciones históricamente problemáticas como AJP y despliegues inseguros. En entornos críticos, además del upgrade, es recomendable reforzar monitoreo, segmentación y hardening del middleware Java.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles