Apache Tomcat, un diffuso server web open-source e contenitore di servlet, è fondamentale per l’hosting di applicazioni Java. Presenta una vulnerabilità critica di bypass dell’autenticazione (CVE-2024-52316) che può consentire l’accesso non autorizzato in presenza di configurazioni specifiche.

Riassunto tecnico

CVE-2024-52316 è una vulnerabilità relativa alla gestione di errori non controllati che interessa le versioni di Tomcat:

• 11.0.0-M1 fino alla 11.0.0-M26
• 10.1.0-M1 fino alla 10.1.30
• 9.0.0-M1 fino alla 9.0.95

Se un componente personalizzato Jakarta Authentication ServerAuthContext riscontra un’eccezione durante l’autenticazione ma non imposta esplicitamente un codice di stato HTTP per il fallimento, l’autenticazione potrebbe avere successo inavvertitamente, permettendo l’accesso non autorizzato.

Sebbene attualmente non siano noti componenti Jakarta Authentication che presentino questo comportamento, i sistemi che utilizzano implementazioni personalizzate sono a rischio. La vulnerabilità è stata corretta nelle versioni di Tomcat 11.0.0, 10.1.31 e 9.0.96.

Raccomandazioni

• Aggiornare Apache Tomcat alle ultime versioni correttive:
• 11.0.0 per gli utenti della serie 11.x.
• 10.1.31 per gli utenti della serie 10.x.
• 9.0.96 per gli utenti della serie 9.x.