CVE-2024-56337

Nome do software vulnerável e versões afetadas:

Versões do Apache Tomcat de 9.0.0-M1 a 11.0.1

Descrição:

A vulnerabilidade consiste em uma condição de corrida do tipo “Time-of-check Time-of-use” (TOCTOU), que pode ser explorada para contornar verificações de distinção entre maiúsculas e minúsculas e executar código arbitrário. Isso pode ser feito através do upload de um arquivo que pode ser transformado em código JSP malicioso, resultando na execução remota de código. A exploração pode ser realizada em sistemas de arquivos que não diferenciam maiúsculas de minúsculas, nos quais a funcionalidade de gravação do servlet padrão do Tomcat está habilitada. Mais de 894.000 aplicações Apache Tomcat estão potencialmente vulneráveis a essa exploração. Uma prova de conceito foi divulgada, e espera-se que ocorram mais explorações.

Recomendações:

Atualize para versões corrigidas do Apache Tomcat e ajuste a configuração do Java adequadamente para impedir a execução remota de código.

Como solução temporária, considere desativar a funcionalidade de gravação do servlet padrão em sistemas de arquivos que não diferenciam maiúsculas de minúsculas para minimizar o risco de exploração.

Restrinja o acesso aos arquivos jsp vulneráveis para impedir a execução de código malicioso até que o problema seja resolvido.