CVE-2024-52316

CRÍTIC (9,8)

CVSS3: 8,5

Apache Tomcat podria permetre que un atacant remot eludeixi les restriccions de seguretat, causades per una fallada quan s’utilitza un component personalitzat d’autenticació de Jakarta ServerAuthContext. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per evitar el procés d’autenticació.

Sistemes Afectats

• Apache Tomcat – 9.0.0-M1
• Apache Tomcat – 9.0.95
• Apache Tomcat – 10.1.0-M1
• Apache Tomcat – 10.1.30
• Apache Tomcat – 11.0.0-M1
• Apache Tomcat – 11.0.0-M26

Remediació
Actualitzeu a la darrera versió d’Apache Tomcat (9.0.96, 10.1.31, 11.0.0 o posterior), disponible al lloc web d’Apache. Vegeu-ne les Referències.

Referències

• https://lists.apache.org/thread/lopzlqh91jj9n334g02om08sbysdb928
• https://seclists.org/oss-sec/2024/q4/103
• https://tomcat.apache.org/