Una reciente vulnerabilidad identificada como CVE-2025-31650 afecta a múltiples versiones de Apache Tomcat, permitiendo que solicitudes HTTP malformadas con encabezados de prioridad inválidos provoquen una fuga de memoria. Esta condición puede ser explotada por atacantes para desencadenar una Denegación de Servicio (DoS), comprometiendo la disponibilidad de las aplicaciones web que utilizan este servidor.
¿Qué es la vulnerabilidad CVE-2025-31650?
La vulnerabilidad CVE-2025-31650 afecta directamente a Apache Tomcat y está relacionada con el procesamiento de solicitudes HTTP/2. El problema ocurre cuando el servidor recibe solicitudes con encabezados de prioridad inválidos. En lugar de manejar el error de manera adecuada, el sistema entra en un estado inestable que provoca una fuga de memoria. Si esta condición se repite de forma sostenida, puede derivar en el agotamiento de la memoria disponible, resultando en una Denegación de Servicio (DoS).
Lo más crítico de esta vulnerabilidad es que no requiere autenticación previa, lo que permite que un atacante remoto pueda enviar un gran volumen de solicitudes malformadas de manera automatizada, comprometiendo la disponibilidad del servidor.
¿Qué versiones de Tomcat están afectadas?
Según el aviso oficial del proyecto Apache, esta vulnerabilidad afecta las siguientes versiones:
- Apache Tomcat 11.0.0-M2 a 11.0.5
- Apache Tomcat 10.1.10 a 10.1.39
- Apache Tomcat 9.0.76 a 9.0.102
Estas versiones incluyen una implementación vulnerable de HTTP que no maneja correctamente los encabezados de prioridad malformados.
¿Cuál es el impacto?
El principal riesgo de esta vulnerabilidad es que permite a un atacante agotar los recursos del servidor, afectando su disponibilidad. Aunque no permite ejecución remota de código ni escalamiento de privilegios, su facilidad de explotación remota sin autenticación previa y el impacto directo en la memoria hacen que sea un vector eficaz para ataques de tipo DoS.
¿Cómo fue corregido?
El equipo de Apache Tomcat publicó versiones corregidas que mejoran el manejo de los encabezados de prioridad en el protocolo HTTP. El parche impide que los encabezados malformados afecten la asignación de memoria, neutralizando la posibilidad de fuga. Las versiones corregidas son:
- Actualización a Apache Tomcat 11.0.6 o posterior
- Actualización a Apache Tomcat 10.1.40 o posterior
- Actualización a Apache Tomcat 9.0.104 o posterior
Recomendaciones
- Actualizar Apache Tomcat inmediatamente: Se recomienda actualizar Apache Tomcat a la brevedad, especialmente si se están utilizando versiones vulnerables. Para mitigar esta falla, es necesario aplicar las versiones corregidas que abordan directamente el problema: Tomcat 11.0.6 o superior, Tomcat 10.1.40 o superior y Tomcat 9.0.104 o superior.
- Monitorear el uso de recursos del servidor: Implementa herramientas de monitoreo que permitan identificar picos anómalos en el consumo de memoria, lo cual puede ser un indicio de intentos de explotación de la vulnerabilidad.
- Restringir el tráfico sospechoso: Usa firewalls de aplicaciones web (WAF) o proxies inversos que permitan detectar y bloquear solicitudes HTTP malformadas con encabezados irregulares.
- Registrar y auditar solicitudes HTTP: Asegúrate de que los logs del servidor registren los encabezados y comportamientos anómalos, permitiendo así el análisis de intentos de explotación.
- Seguir los boletines de seguridad de Apache Tomcat: Mantente informado a través de los canales oficiales de Apache para recibir alertas y actualizaciones de seguridad de manera oportuna.
