Vulnerabilidad de ejecución remota de código en Apache Tomcat

Fecha de publicación:

21/05/2020

Importancia:

4 - Alta

Recursos afectados:

Apache Tomcat, versiones:

desde la 7.0.0, hasta la 7.0.103;
desde la 8.5.0, hasta la 8.5.54;
desde la 9.0.0.M1, hasta la 9.0.34;
desde la 10.0.0-M1, hasta la 10.0.0-M4.

Descripción:

El investigador Jarvis Threedr3am, de pdd security research, ha reportado al equipo de seguridad de Apache Tomcat una vulnerabilidad de criticidad alta del tipo ejecución remota de código.

Solución:

Actualizar Apache Tomcat a las siguientes versiones:

7.0.104,
8.5.55,
9.0.35,
10.0.0-M5.

Detalle:

Un atacante remoto, que envíe una respuesta específicamente creada, podría realizar una ejecución remota de código mediante la deserialización del archivo bajo su control. Se ha asignado el identificador CVE-2020-9484 para esta vulnerabilidad.

Referencias:

Fixed in Apache Tomcat 7.0.104

Fixed in Apache Tomcat 8.5.55

Fixed in Apache Tomcat 9.0.35

Fixed in Apache Tomcat 10.0.0-M5

Etiquetas:

Actualización

Apache

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución remota de código en Apache Tomcat

Limitación incorrecta de la ruta a un directorio restringido en Liferay Portal

Múltiples vulnerabilidades en Moodle

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Múltiples vulnerabilidades en el core de Drupal