Se ha conocido una vulnerabilidad de ejecución remota de código a través de peticiones HTTP tipo PUT, siendo posible por un atacante cargar un archivo JSP en el servidor y realizar la ejecución de código en el servidor, catalogada de Importancia: 4 - Alta
Recursos afectados:
- Apache Tomcat
versión 9.0.0.m1 a versión 9.0.0
- Apache Tomcat
versión 8.5.0 a versión 8.5.22
- Apache Tomcat
versión 8.0.0.RC1 a versión 8.0.46
Detalle e Impacto de
la vulnerabilidad
- La
vulnerabilidad descubierta permitiría cuando está habilitado el método
HTTP tipo PUT cargar un archivo JSP en el servidor a través de una
petición especialmente diseñada, pudiendo a través de este JSP ejecutar
código en el servidor. Se ha reservado el identificador CVE-2017-12617
para esta vulnerabilidad.
Recomendación
- Se recomienda
actualizar a las últimas versiones disponibles 9.0.1, 8.5.23 y 8.0.47
Más información
- Certsi_ https://www.certsi.es/alerta-temprana/avisos-seguridad/ejecucion-remota-codigo-apache-tomcat