Una vulnerabilidad permite a los atacantes saltarse las restricciones de acceso web enviando peticiones maliciosas a través de un protocolo de los años 90. ¿La solución? Actualizar y vigilar la configuración de tus proxys.
En ciberseguridad, lo que se olvida a menudo regresa para morderte. Hoy 20 de febrero de 2026, que el equipo de seguridad de Apache Tomcat ha revelado y parcheado una vulnerabilidad peculiar (catalogada como CVE-2026-24733) que demuestra cómo el código heredado puede romper los controles modernos.
Aunque el fallo ha sido clasificado con una severidad “Baja” debido a las condiciones específicas que requiere para ser explotado, representa un riesgo real para integraciones heredadas (legacy) y configuraciones de red inusuales.
El Problema: El Regreso del HTTP/0.9
La vulnerabilidad radica en cómo Tomcat maneja HTTP/0.9, una variante de protocolo extremadamente mínima y obsoleta que es anterior a las expectativas modernas de cómo se deben estructurar los métodos y encabezados web. Hoy en día, casi nadie usa HTTP/0.9 intencionalmente.
- El Defecto: Tomcat no estaba restringiendo adecuadamente las peticiones HTTP/0.9 exclusivamente al método GET (como dicta el estándar antiguo).
- La Trampa: El fallo de evasión (bypass) ocurre si un servidor Tomcat tiene una regla de seguridad configurada de una manera muy específica: permite peticiones HEAD a una URL, pero deniega las peticiones GET a esa misma dirección.
- El Exploit: Bajo condiciones normales de HTTP/1.1 o HTTP/2, esta regla impediría que alguien descargue el cuerpo de la página. Sin embargo, aprovechando CVE-2026-24733, un atacante puede enviar una petición HEAD maliciosa (que no cumple con las especificaciones) utilizando el protocolo HTTP/0.9. Al hacerlo, confunde el motor de análisis de Tomcat y logra evadir la restricción impuesta a GET, accediendo al contenido protegido.
Versiones Afectadas y Parches
Apache ha emitido actualizaciones de seguridad en todas sus ramas activas. Si utilizas versiones “End of Life” (EOL) más antiguas, estás en riesgo permanente, ya que no recibirán parches.
Debes actualizar inmediatamente a las siguientes versiones seguras:
- Rama Tomcat 11: Actualizar a la versión 11.0.15 o superior.
- Rama Tomcat 10.1: Actualizar a la versión 10.1.50 o superior.
- Rama Tomcat 9.0: Actualizar a la versión 9.0.113 o superior.
Recomendaciones para Administradores de TI
Además de aplicar los parches, los expertos en seguridad recomiendan dos pasos fundamentales para endurecer la infraestructura:
- Auditoría de Reglas: Revisa las intenciones de tu control de acceso. Si proteges un endpoint bloqueando el método GET, asegúrate de que permitir el método HEAD sea estrictamente necesario para la lógica de tu aplicación.
- Revisión de Proxys Inversos: Asegúrate de que tus balanceadores de carga o proxys inversos (como Nginx o HAProxy) frente a Tomcat estén configurados para rechazar o normalizar el tráfico antiguo, evitando ataques de degradación de protocolo (protocol downgrade) donde el atacante fuerza el uso de HTTP/0.9.
