近日，Apache Tomcat曝出一項(xiàng)安全漏洞，在公開發(fā)布概念驗(yàn)證（PoC）僅30小時(shí)后，該漏洞即遭到攻擊者利用。這一漏洞編號(hào)為CVE-2025-24813，主要影響以下版本：

• Apache Tomcat 11.0.0-M1 至 11.0.2
• Apache Tomcat 10.1.0-M1 至 10.1.34
• Apache Tomcat 9.0.0-M1 至 9.0.98

漏洞詳情與利用條件

該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行或信息泄露，具體利用條件如下：

• 默認(rèn)Servlet的寫入功能已啟用（默認(rèn)禁用）
• 支持部分PUT請(qǐng)求（默認(rèn)啟用）
• 安全敏感文件上傳的目標(biāo)URL是公開上傳目標(biāo)URL的子目錄
• 攻擊者知道正在上傳的安全敏感文件的名稱
• 安全敏感文件通過(guò)部分PUT請(qǐng)求上傳

成功利用該漏洞后，惡意用戶可以通過(guò)PUT請(qǐng)求查看安全敏感文件或向這些文件中注入任意內(nèi)容。

此外，如果滿足以下所有條件，攻擊者還可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行：

• 默認(rèn)Servlet的寫入功能已啟用（默認(rèn)禁用）
• 支持部分PUT請(qǐng)求（默認(rèn)啟用）
• 應(yīng)用程序使用Tomcat基于文件的會(huì)話持久化機(jī)制，且存儲(chǔ)位置為默認(rèn)路徑
• 應(yīng)用程序包含可能被反序列化攻擊利用的庫(kù)

漏洞修復(fù)與利用現(xiàn)狀

上周，項(xiàng)目維護(hù)人員發(fā)布公告稱，該漏洞已在Tomcat 9.0.99、10.1.35和11.0.3版本中修復(fù)。

但令人擔(dān)憂的是，據(jù)Wallarm報(bào)告，該漏洞已經(jīng)遭到利用。該公司表示：“該攻擊利用了Tomcat的默認(rèn)會(huì)話持久化機(jī)制及其對(duì)部分PUT請(qǐng)求的支持?！崩眠^(guò)程分為兩步：首先，攻擊者通過(guò)PUT請(qǐng)求上傳一個(gè)序列化的Java會(huì)話文件；然后，攻擊者通過(guò)GET請(qǐng)求引用惡意會(huì)話ID來(lái)觸發(fā)反序列化。

換言之，攻擊者發(fā)送一個(gè)包含Base64編碼的序列化Java有效負(fù)載的PUT請(qǐng)求，該負(fù)載會(huì)被寫入Tomcat的會(huì)話存儲(chǔ)目錄，隨后在發(fā)送帶有指向惡意會(huì)話的JSESSIONID的GET請(qǐng)求時(shí)被執(zhí)行反序列化。

Wallarm還指出，該漏洞利用起來(lái)極其簡(jiǎn)單，且無(wú)需身份驗(yàn)證。唯一的先決條件是Tomcat使用基于文件的會(huì)話存儲(chǔ)。

該公司補(bǔ)充道：“雖然該攻擊利用了會(huì)話存儲(chǔ)，但更大的問(wèn)題是Tomcat對(duì)部分PUT請(qǐng)求的處理，這允許攻擊者將幾乎任何文件上傳到任意位置。攻擊者很快就會(huì)改變策略，上傳惡意的JSP文件、修改配置并在會(huì)話存儲(chǔ)之外植入后門。”

建議運(yùn)行受影響Tomcat版本的用戶盡快更新實(shí)例，以緩解潛在威脅。