Un fallo en el componente pathInfo del servlet CGI en Apache Tomcat, identificado como CVE-2025-46701, ha generado preocupación en el ámbito de la seguridad tecnológica. A pesar de haber sido catalogado con baja severidad, el problema representa un riesgo significativo para entornos específicos que utilizan el soporte CGI, desactivado por defecto en todas las versiones del servidor.
La vulnerabilidad se basa en el manejo incorrecto de la sensibilidad de mayúsculas y minúsculas en el pathInfo de las URLs que invocan al CGI servlet. Este error podría permitir a un atacante evadir las restricciones de seguridad configuradas, especialmente en sistemas de archivos no sensibles a mayúsculas, como Windows. Aunque no se han encontrado vectores de ataque en configuraciones estándar de Tomcat, el riesgo radica en entornos donde CGI esté explícitamente activado.
Las versiones afectadas incluyen tres ramas de Apache Tomcat: desde la 11.0.0-M1 hasta la 11.0.6, la 10.1.0-M1 hasta la 10.1.40, y la 9.0.0-M1 hasta la 9.0.104. La Apache Software Foundation ha lanzado parches en las versiones Tomcat 11.0.7, 10.1.41 y 9.0.105 que corrigen esta falla.
Se insta a los administradores de sistemas a revisar inmediatamente el uso de CGI y aplicar las actualizaciones necesarias. En caso de que CGI no sea esencial, se recomienda mantenerlo desactivado para mitigar riesgos.
El descubrimiento fue realizado por Greg K, un investigador experto en seguridad, quien enfatizó la importancia de la revisión continua y actualización de funcionalidades que aunque menos utilizadas, pueden convertirse en vectores de ataque si no se gestionan correctamente.
Las medidas recomendadas incluyen la auditoría de configuraciones de Tomcat, desactivación de funciones innecesarias, aplicación rápida de parches de seguridad y revisión de reglas de acceso.
A pesar de que el uso de CGI en Tomcat ha disminuido con los años, esta vulnerabilidad resalta que incluso los módulos menos usados pueden generar riesgos significativos. CVE-2025-46701 no debe ser subestimado en contextos donde las restricciones CGI son críticas para la seguridad de datos sensibles. La aplicación de actualizaciones es crucial para evitar posibles brechas y fortalecer las políticas de seguridad.
Más información y referencias en Noticias Cloud.
