Ejecución remota de código en Apache Tomcat

Fecha de publicación: 
03/10/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Apache Tomcat versión 9.0.0.m1 a versión 9.0.0
  • Apache Tomcat versión 8.5.0 a versión 8.5.22
  • Apache Tomcat versión 8.0.0.RC1 a versión 8.0.46
Descripción: 

Se ha conocido una vulnerabilidad de ejecución remota de código a través de peticiones HTTP tipo PUT, siendo posible por un atacante cargar un archivo JSP en el servidor y realizar la ejecución de código en el servidor.

Solución: 

Se recomienda actualizar a las últimas versiones disponibles 9.0.1, 8.5.23 y 8.0.47

Detalle: 

La vulnerabilidad descubierta permitiría cuando está habilitado el método HTTP tipo PUT cargar un archivo JSP en el servidor a través de una petición especialmente diseñada, pudiendo a través de este JSP ejecutar código en el servidor. Se ha reservado el identificador CVE-2017-12617 para esta vulnerabilidad.