Execució de codi a Apache Tomcat
20/12/2024
CVE-2024-50379
CRÍTIC (9,8)
CVSS3: 8,5
Time-of-check Time-of-use (TOCTOU). La vulnerabilitat de la situació de competició durant la compilació de JSP a Apache Tomcat permet un RCE en sistemes de fitxers que no distingeixen entre majúscules i minúscules quan el servlet predeterminat està habilitat per a l’escriptura (configuració no predeterminada). Aquest problema afecta l’Apache Tomcat: de l’11.0.0-M1 a l’11.0.1, de la 10.1.0-M1 a la 10.1.33, de la 9.0.0.M1 a la 9.0.97. Es recomana els usuaris que actualitzin a la versió 11.0.2, 10.1.34 o 9.0.08, que soluciona el problema.
Sistemes Afectats
- Apache Tomcat – 9.0.0.M1
- Apache Tomcat – 9.0.97
- Apache Tomcat – 10.1.0-M1
- Apache Tomcat – 10.1.33
- Apache Tomcat – 11.0.0-M1
- Apache Tomcat – 11.0.1
Remediació
Actualitzeu a la darrera versió d’Apache Tomcat (9.0.98, 10.1.34, 11.0.2 o posterior), disponible al lloc web d’Apache. Vegeu-ne les Referències.
