La Habana, 4 de diciembre de 2023
“Año 65 de la Revolución”

El 29 de noviembre del 2023 se dio a conocer que Norihito Aimoto, investigador de OSSTech Corporation, ha reportado una vulnerabilidad de tipo contrabando de solicitudes (request smuggling) HTTP que afecta a varias versiones de Apache Tomcat.
 
Recursos Afectados
 
Apache Tomcat, versiones:
 

• desde 11.0.0-M1 hasta 11.0.0-M10;
• desde 10.1.0-M1 hasta 10.1.15;
• desde 9.0.0-M1 hasta 9.0.82;
• desde 8.5.0 hasta 8.5.95.

 
Detalles
 
Las versiones vulnerables de Tomcat mencionadas no analizan correctamente las cabeceras HTTP 'Trailer'. Una cabecera maliciosa de este tipo que excediese el límite de tamaño del encabezado, podría hacer que Tomcat tratara una única solicitud como varias, lo que podría ocasionar un contrabando de solicitudes (request smuggling) HTTP detrás de un proxy inverso. Se ha asignado el identificador CVE-2023-46589 para esta vulnerabilidad.
 
Solución
 
Actualizar a las siguientes versiones (o posteriores):

• 11.0.0-M11;
• 10.1.16;
• 9.0.83;
• 8.5.96.

Actualizaciones de seguridad de Joomla 5.0.1 y 4.4.1
 
El 29 de noviembre del 2023 el JSST (Joomla! Security Strike Team) ha informado de una vulnerabilidad que afecta al core de Joomla! CMS, cuya explotación podría permitir la divulgación de información.
 
Recursos Afectados
 
Joomla! CMS, versiones:
 

• desde 1.6.0 hasta 4.4.0;
• 5.0.0.

 
Detalles
 
El proceso de análisis del archivo de idioma podría manipularse para exponer variables de entorno que contuviesen información sensible. Se ha asignado el identificador CVE-2023-40626 para esta vulnerabilidad.  
 
Solución
 
Instalar o actualizar a las versiones 3.10.14-elts, 4.4.1 o 5.0.1.