Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Apache Tomcat, que permitiría a un atacante realizar divulgación de información en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-28708, de severidad “Alta”, sin una puntuación asignada. Esta vulnerabilidad se debe a una falla de seguridad en el atributo “secure” de las cookies al utilizar RemoteIpFilter. Esto permitiría a un atacante a través de cookies de sesión creadas por Apache Tomcat, realizar divulgación de información del sistema afectado.
Las versiones afectadas son:
- Apache Tomcat, versiones desde 11.0.0-M1 hasta 11.0.0-M2.
- Apache Tomcat, versiones desde 10.1.0-M1 hasta 10.1.5.
- Apache Tomcat, versiones desde 9.0.0-M1 hasta 9.0.71
- Apache Tomcat, versiones desde 8.5.0 hasta 8.5.85.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
- Apache Tomcat 11.0.0-M3 (o posterior).
- Apache Tomcat 10.1.6 (o posterior).
- Apache Tomcat 9.0.72 (o posterior).
- Apache Tomcat 8.5.86 (o posterior).
Referencias:
- https://securityonline.info/cve-2023-28708-information-disclosure-vulnerability-in-apache-tomcat/
- https://lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67
- https://nvd.nist.gov/vuln/detail/CVE-2023-28708
- https://tomcat.apache.org/download-11.cgi
- https://tomcat.apache.org/download-10.cgi
- https://tomcat.apache.org/download-90.cgi
- https://tomcat.apache.org/download-80.cgi