Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha detectado una vulnerabilidad del tipo Improper Neutralization of Escape, Meta, or Control Sequences en Apache Tomcat, identificada como CVE-2025-55754. Este fallo permite que un atacante envíe una URL especialmente elaborada que inyecta secuencias ANSI en los registros de la consola de Tomcat cuando el servidor opera en un entorno Windows con soporte de dichas secuencias. Como resultado, el atacante podría manipular el contenido de la consola, el portapapeles y engañar al administrador para ejecutar código controlado por el atacante.
La vulnerabilidad afecta a versiones de Tomcat desde 11.0.0-M1 hasta 11.0.10, desde 10.1.0-M1 hasta 10.1.44, y desde 9.0.40 hasta 9.0.108 (y posiblemente versiones EOL previas como 8.5.60-8.5.100). Dado que la explotación opera vía red (HTTP), sin privilegios y con baja complejidad, el riesgo es elevado.
Recursos afectados
- Sistemas que ejecutan Tomcat en consola con soporte de secuencias ANSI (especialmente Windows).
Solución
Actualizar a una de las siguientes versiones o posterior:
- Tomcat 11.0.11 o superior
- Tomcat 10.1.45 o superior
- Tomcat 9.0.109 o superior
Recomendaciones
- Identificar todas las instancias de Tomcat en el entorno y confirmar la versión en ejecución.
- Planificar la actualización a versiones seguras cuanto antes.
- Si la actualización inmediata no es viable, deshabilitar el registro de consola en entornos Windows o restringir la ejecución de la consola con soporte de ANSI.
- Revisar los registros de auditoría de la consola y el portapapeles para detectar actividad anómala.
- Capacitar al personal administrativo sobre el riesgo de manipulación de consola y engaños mediante secuencias ANSI.