La Apache Software Foundation ha emitido una alerta tras la divulgación de dos vulnerabilidades de seguridad que afectan a múltiples versiones principales del servidor web y contenedor de servlets Apache Tomcat. Estos fallos, identificados como CVE-2026-55957 y CVE-2026-55956, permiten a actores de amenazas eludir los controles de acceso y las restricciones de autenticación configuradas en las aplicaciones web. Dado el amplio uso de Tomcat en entornos empresariales, se requiere la aplicación urgente de parches, especialmente en implementaciones que manejan contenido confidencial o utilizan el componente JNDIRealm.
Veredicto Analítico
- Estado: Confirmado. Parches disponibles emitidos por la Apache Software Foundation tras la divulgación responsable por parte del investigador Ilan Toyter.
- Confianza: Absoluta. Validado por los mantenedores oficiales del proyecto Apache Tomcat.
- Riesgo para SOC, TDIR y CloudOps: Alto. La capacidad de eludir de forma silenciosa las restricciones de acceso a nivel de método HTTP abre la puerta a la manipulación de recursos sensibles y funciones administrativas sin requerir credenciales válidas.
- Urgencia Operativa: Inmediata. Especialmente crítico para servidores expuestos a Internet y entornos que dependen de <security-constraint> para la protección de endpoints.
- Base del Veredicto: Deficiencia en la lógica de coincidencia de solicitudes de Tomcat, donde las restricciones de seguridad aplicadas a métodos HTTP específicos en el servlet predeterminado se ignoran silenciosamente.
Hallazgos Clave
Vulnerabilidad Principal (CVE-2026-55957 | Severidad: Importante) Este fallo afecta específicamente al componente JNDIRealm de Tomcat cuando está configurado para utilizar autenticación GSSAPI (típicamente respaldada por LDAP). Debido a restricciones de seguridad mal aplicadas en el servlet predeterminado, un atacante puede eludir el flujo de autenticación esperado y acceder a recursos protegidos de forma no autorizada.
- Versiones Afectadas: Tomcat 11.0.0-M1 a 11.0.4; 10.1.0-M1 a 10.1.36; 9.0.0.M1 a 9.0.100 (ramas antiguas/sin soporte también podrían ser vulnerables).
- Versiones Parcheadas: Tomcat 11.0.5, 10.1.37 y 9.0.101.
Vulnerabilidad Secundaria (CVE-2026-55956 | Severidad: Moderada) Comparte la misma causa raíz que el CVE anterior (omisión de restricciones en el servlet predeterminado), pero afecta a un espectro mucho más amplio de versiones, lo que indica que el defecto estructural persistió durante varios ciclos de lanzamiento de Tomcat sin ser detectado.
- Versiones Afectadas: Tomcat 11.0.0-M1 a 11.0.22; 10.1.0-M1 a 10.1.55; 9.0.0.M1 a 9.0.118.
- Versiones Parcheadas: Tomcat 11.0.23, 10.1.56 y 9.0.119.
Análisis Técnico: Mecanismo de Explotación
El núcleo de ambas vulnerabilidades reside en cómo el motor de Tomcat procesa y valida las etiquetas <security-constraint> definidas por los administradores (generalmente en el archivo web.xml).
- Definición de Restricciones: Un administrador configura reglas de control de acceso basándose en verbos HTTP específicos (por ejemplo, restringiendo peticiones PUT o DELETE para usuarios autenticados, pero permitiendo peticiones GET públicas).
- Fallo Lógico en el Procesamiento: La lógica interna de coincidencia de solicitudes de Tomcat falla al imponer de manera estricta estas definiciones a nivel de método. Los métodos HTTP configurados para ser restringidos, u omitidos explícitamente en las reglas, son ignorados silenciosamente por el analizador.
- Evasión (Bypass): En la práctica, un actor de amenazas puede enviar una petición a un endpoint supuestamente restringido utilizando verbos HTTP no contemplados o mal gestionados por la regla, logrando que Tomcat sirva el recurso o ejecute la función administrativa sin solicitar el desafío de autenticación.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
- Evasión de Defensas: Evasión de Controles de Acceso al Sistema (Bypass System Access Controls – T1134).
- Descubrimiento: Descubrimiento de Archivos y Directorios mediante la manipulación de verbos HTTP (File and Directory Discovery – T1083).
Recomendaciones Operativas
Para Administración de Servidores y CloudOps (Acción Prioritaria)
- Actualización Estricta: Desplegar inmediatamente las versiones parcheadas recomendadas por la Apache Software Foundation. Dado que no existen soluciones alternativas (workarounds) viables a nivel de configuración para parchear este fallo en caliente, la actualización del binario es obligatoria.
- Auditoría Post-Actualización: Una vez aplicado el parche, revisar meticulosamente el archivo web.xml. Es crucial verificar que las etiquetas <security-constraint> existentes sigan siendo lógicamente correctas y funcionen como se espera bajo la nueva validación estricta de Tomcat.
Para el Centro de Operaciones de Seguridad (SOC)
- Monitoreo de Verbos HTTP Anómalos: Configurar los SIEM/Log Management para alertar sobre patrones inusuales en los registros de acceso de Tomcat (localhost_access_log). Prestar atención a peticiones que utilicen verbos HTTP atípicos (como HEAD, OPTIONS, TRACE o métodos arbitrarios inyectados) dirigidos contra URIs que manejan contenido sensible o flujos de autenticación LDAP/GSSAPI.
- Inspección de WAF: Asegurar que el Web Application Firewall (WAF) esté configurado para aplicar un modelo de seguridad positivo (Positive Security Model), bloqueando de forma predeterminada cualquier verbo HTTP que no sea estrictamente necesario para la operatividad de la aplicación.




