CVE-2025-24813:Apache Tomcat RCE/信息泄露漏洞野外利用
摘要
3月10日,Apache披露了CVE-2025-24813,这是一个影响其广泛使用的Tomcat服务器软件特定版本(11.0.0-M1至11.0.2、10.1.0-M1至10.1.34以及9.0.0.M1至9.0.98)的远程代码执行和/或信息泄露漏洞。虽然该漏洞尚未分配严重性评分,但API安全供应商Wallarm早在3月12日就观察到了野外利用,且概念验证利用代码自3月14日起已公开可用。成功利用取决于一些服务器配置,但如果满足这些条件,未经认证的攻击者可以接管易受攻击的Tomcat服务器。受影响组织应尽快修补到未受影响的Tomcat版本并检查服务器配置;由于该漏洞的简单性,攻击者策略可能会迅速变化。
受影响系统和/或应用
以下Apache Tomcat版本(含)受CVE-2025-24813影响:
- 11.0.0-M1 – 11.0.2
- 10.1.0-M1 – 10.1.34
- 9.0.0.M1 – 9.0.98
技术细节
根据Apache公告:如果以下所有条件都为真,恶意用户能够查看安全敏感文件和/或向这些文件注入内容:
- 默认servlet启用写入(默认禁用)
- 支持部分PUT(默认启用)
- 安全敏感上传的目标URL是公共上传目标URL的子目录
- 攻击者知道正在上传的安全敏感文件的名称
- 安全敏感文件也通过部分PUT上传
如果以下所有条件都为真,恶意用户能够执行远程代码执行:
- 默认servlet启用写入(默认禁用)
- 支持部分PUT(默认启用)
- 应用程序使用Tomcat的基于文件的会话持久化,且使用默认存储位置
- 应用程序包含一个可在反序列化攻击中利用的库
该漏洞利用滥用Tomcat的默认基于文件的会话持久化机制及其部分PUT请求支持:
- 攻击者通过HTTP PUT请求上传恶意的序列化Java会话文件
- 攻击者在GET请求中引用恶意会话ID,触发反序列化(远程代码执行)
不需要认证。攻击者只需要能够与Tomcat服务器通信。
缓解措施
为缓解CVE-2025-24813,Apache建议所有用户升级到修补的Tomcat版本:
- 11.0.3+
- 10.1.35+
- 9.0.99+
虽然这足以解决此特定漏洞,但Wallarm警告称,Tomcat的部分PUT请求处理可能存在更多RCE漏洞。
组织还应考虑恢复默认的readonly=“true” servlet配置,禁用部分PUT支持,并避免在公共上传路径的子目录中存储敏感文件。
网络融合中心正在采取的措施
CFC将继续监控情况,并在需要时发送咨询更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即收到扫描范围内发现的关键漏洞的相关结果。
Tenable ID:
- 114658
- 114657
- 114656
- 232530
- 232529
- 232528
Qualys ID:
- 732323
- 732322
- 732321
- 152821
- 6019167
- 5003040