Esta vulnerabilidad fue identificada por un investigador
de seguridad externo. Posteriormente, el equipo de seguridad de Apache Tomcat
fue informado a través del programa bug bounty patrocinado por el proyecto EU
FOSSA-2 el 3 de marzo de 2019, y se publicó el 10 de abril de 2019, catalogada
de Importancia: 4 - Alta
Recursos afectados:
Apache Tomcat en la plataforma Windows, versiones:
- Desde 7.0.0 hasta 7.0.93
- Desde 8.5.0 hasta 8.5.39
- Desde 9.0.0.M1 hasta 9.0.17
Detalle de
vulnerabilides
Cuando se ejecuta en Windows con enableCmdLineArguments
activado, el Servlet CGI es vulnerable a una ejecución remota de código (RCE)
debido a un error en la forma en que el JRE pasa a Windows los argumentos de la
línea de comandos. El Servlet CGI está deshabilitado por defecto. La opción de
CGI enableCmdLineArguments está desactivada por defecto en Tomcat 9.0.x. Se ha
asignado el identificador CVE-2019-0232 para esta vulnerabilidad.
Recomendación
- Actualizar a la versión 7.0.94 o superior.
- Actualizar a la versión 8.5.40 o superior.
- Actualizar a la versión 9.0.19 o superior.
Más información
Fuente: INCIBE