Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de TI

Ejecución remota de código en Apache Tomcat

Fecha18/12/2024
Importancia5 - Crítica
Recursos Afectados

Apache Tomcat, versiones:

  • desde 11.0.0-M1 hasta 11.0.1;
  • desde 10.1.0-M1 hasta 10.1.33;
  • desde 9.0.0.M1 hasta 9.0.97.
Descripción

Nacl, WHOAMI, Yemoli y Ruozhi han descubierto una vulnerabilidad de severidad crítica en Apache Tomcat que podría permitir la ejecución remota de código.

Solución

Actualizar a las siguientes versiones de Apache Tomcat:

  • 11.0.2 o posterior.
  • 10.1.34 o posterior.
  • 9.0.98 o posterior.
Detalle

La vulnerabilidad de severidad crítica podría permitir una ejecución remota de código (RCE) si el servlet predeterminado está habilitado para escritura (el parámetro de solo lectura readonly inicialmente está configurado como falso, el cual no es su valor por defecto) para un sistema de ficheros que no distinga entre mayúsculas y minúsculas (case sensitive). Una lectura y subida simultáneas del mismo fichero podría omitir las verificaciones de distinción entre mayúsculas y minúsculas de Tomcat y hacer que el archivo cargado sea tratado como un JSP, lo que permitiría la ejecución remota de código.

Esta vulnerabilidad, de severidad crítica, tiene asignado el código CVE-2024-50379.

Inyección de comandos en productos BeyondTrust

Fecha18/12/2024
Importancia5 - Crítica
Recursos Afectados

Todas las versiones 24.3.1 y anteriores de:

  • Privileged Remote Access (PRA);
  • Remote Support (RS).
Descripción

BeyondTrust ha publicado una vulnerabilidad de severidad crítica que afecta a Privileged Remote Access (PRA) y Remote Support (RS), y que de ser explotada podría permitir a un atacante, no autenticado, inyectar comandos que se ejecutan como un usuario con permisos en el software.

Solución

Se ha aplicado un parche a todos los clientes de la nube RS/PRA a partir del 16 de diciembre de 2024 que soluciona esta vulnerabilidad:

  • Parche PRA BT24-10-ONPREM1 o BT24-10-ONPREM2 según la versión de PRA.
  • Parche RS BT24-10-ONPREM1 o BT24-10-ONPREM2 según la versión RS.

Los clientes locales de RS y PRA deben aplicar el parche si su instancia no está suscrita a actualizaciones automáticas en su interfaz /appliance. Si los clientes tienen una versión anterior a la 22.1, deberán actualizarla para poder aplicar este parche.

Detalle

La vulnerabilidad es de tipo inyección de comandos y se podría explotar a través de una solicitud de cliente malintencionada. De ser así esta vulnerabilidad podría permitir que un atacante remoto, no autenticado, ejecute comandos del sistema operativo subyacente dentro del contexto del usuario del sitio.

Se ha asignado el identificador CVE-2024-12356 para esta vulnerabilidad.