Vulnerabilidades críticas en Apache Tomcat con exploit activo

EL 13 de abril pasado, la Fundación Apache Software publicó actualizaciones de seguridad de emergencia para abordar múltiples vulnerabilidades en Apache Tomcat. Los avisos destacaban un error crítico en la aplicación de parches que expuso inadvertidamente a los servidores a una vulnerabilidad de elusión de interceptación, así como problemas que afectan la autenticación de certificados y los ataques de oráculo de relleno.

Hoy, se ha publicado un exploit funcional para CVE-2026-34486 que obliga a parchear de forma urgente. 

Omisión de EncryptInterceptor y ataques de oráculo de relleno

La mayoría de los problemas se derivan de un parche de seguridad defectuoso. Inicialmente, los investigadores de seguridad descubrieron CVE-2026-29146, una vulnerabilidad de gravedad "Importante" donde EncryptInterceptor utilizaba el encadenamiento de bloques de cifrado (CBC) por defecto.

Esta configuración dejaba al servidor vulnerable a un ataque de oráculo de relleno, lo que potencialmente permitía a actores maliciosos descifrar el tráfico interceptado.

Los investigadores de Oligo Security, Uri Katz y Avi Lumelsky, identificaron e informaron sobre esta debilidad criptográfica inicial. Para resolver la amenaza del oráculo de relleno, Apache publicó una primera ronda de actualizaciones.

Sin embargo, la corrección introdujo una nueva vulnerabilidad, igualmente grave, identificada como CVE-2026-34486. Descubierta por Bartlomiej Dmitruk de striga.ai, esta vulnerabilidad posterior permitía a los atacantes eludir completamente el EncryptInterceptor. Ahora la misma empresa ha publicado el exploit en Github.

El parche defectuoso que permite eludir EncryptInterceptor (CVE-2026-34486) afecta específicamente a las siguientes versiones:

• Apache Tomcat 11.0.20
• Apache Tomcat 10.1.53
• Apache Tomcat 9.0.116

Debido a que el parche inicial era defectuoso, las organizaciones que utilizan las versiones de actualización intermedias están expuestas a este mecanismo de elusión.

Además de los problemas con el EncryptInterceptor, Apache solucionó una vulnerabilidad de gravedad moderada identificada como CVE-2026-34500. Esta vulnerabilidad afecta a las comprobaciones del Protocolo de estado de certificados en línea (OCSP) en Tomcat.

En determinadas condiciones, al utilizar la API de función y memoria externa (FFM), el sistema experimenta un fallo leve durante la validación OCSP, incluso si el administrador ha deshabilitado explícitamente esta función. En consecuencia, la autenticación CLIENT_CERT no falla como se espera, lo que genera comportamientos de autenticación inesperados que podrían comprometer los controles de acceso.

Haruki Oyama, de la Universidad de Waseda, descubrió y reportó este error de validación de certificado (CVE-2026-34500). Las vulnerabilidades afectan a varias ramas de Apache Tomcat. 

Las vulnerabilidades más generales, incluyendo el ataque inicial de relleno de oráculo y los fallos de validación de certificados, afectan a un rango más amplio de versiones anteriores:

• Apache Tomcat 11.0.0-M1 a 11.0.20
• Apache Tomcat 10.1.0-M1 a 10.1.53
• Apache Tomcat 9.0.13 a 9.0.116

Para resolver las tres vulnerabilidades, incluyendo el parche defectuoso de EncryptInterceptor y el fallo de validación de certificados OCSP, los administradores deben actualizar sus sistemas a las últimas versiones seguras.

La Fundación Apache Software recomienda encarecidamente aplicar las siguientes actualizaciones:

• Actualizar las implementaciones de Apache Tomcat 11.x a la versión 11.0.21 o posterior.
• Actualizar las implementaciones de Apache Tomcat 10.x a la versión 10.1.54 o posterior.
• Actualizar las implementaciones de Apache Tomcat 9.x a la versión 9.0.117 o posterior.

Las organizaciones que utilizan versiones antiguas de Tomcat que han llegado al final de su ciclo de vida (EOL) deben migrar inmediatamente a una rama compatible, ya que estos sistemas heredados no recibirán parches para el ataque de oráculo de relleno ni para las vulnerabilidades de evasión posteriores.

Fuente: CyberSecurityNews