I. Información general

El equipo de seguridad de Apache Tomcat ha identificado una vulnerabilidad de mezcla de solicitudes de conexión h2c (CVE-2021-25122) en algunas versiones de Apache Tomcat. Al responder a nuevas solicitudes de conexión h2c, Apache Tomcat podría duplicar los encabezados de las solicitudes y una parte limitada del cuerpo de una solicitud en la otra. Esto significa que el usuario A y el usuario B pueden ver los resultados de la solicitud del usuario A.

Si usted es usuario de Tomcat, verifique su sistema e implemente mejoras de seguridad de manera oportuna.

Para obtener más información sobre esta vulnerabilidad, visite el siguiente sitio web:

https://lists.apache.org/thread.html/r7b95bc248603360501f18c8eb03bb6001ec0ee3296205b34b07105b7%40%3Cannounce.tomcat.apache.org%3E

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Apache Tomcat 10.0.0-M1 a 10.0.0

Apache Tomcat 9.0.0.M1 a 9.0.41

Apache Tomcat 8.5.0 a 8.5.61

Versiones seguras:

Apache Tomcat 10.0.2 o posterior

Apache Tomcat 9.0.43 o posterior

Apache Tomcat 8.5.63 o posterior

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad se ha corregido en las versiones oficiales más recientes. Si su versión está dentro del rango afectado, instale la versión segura correspondiente.

Apache Tomcat 10.x

Apache Tomcat 9.x

Apache Tomcat 8.x

Nota: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.