漏洞概況

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將Apache Tomcat路徑等效漏洞（編號(hào)CVE-2025-24813）列入其已知被利用漏洞（KEV）目錄。該漏洞在公開概念驗(yàn)證（PoC）代碼發(fā)布僅30小時(shí)后即遭活躍利用。

技術(shù)細(xì)節(jié)

該漏洞屬于Apache Tomcat路徑等效缺陷，在滿足特定條件時(shí)可導(dǎo)致遠(yuǎn)程代碼執(zhí)行或信息泄露。受影響版本包括：

• 11.0.0-M1至11.0.2
• 10.1.0-M1至10.1.34
• 9.0.0.M1至9.0.98

漏洞利用需同時(shí)滿足以下條件：

• 默認(rèn)Servlet啟用寫入功能（默認(rèn)禁用）
• 啟用部分PUT請(qǐng)求支持（默認(rèn)啟用）

存在特定文件處理?xiàng)l件

根據(jù)安全公告，原始實(shí)現(xiàn)中部分PUT請(qǐng)求會(huì)基于用戶提供的文件名和路徑創(chuàng)建臨時(shí)文件，并將路徑分隔符替換為"."。當(dāng)滿足以下全部條件時(shí)，攻擊者可查看敏感文件或注入惡意內(nèi)容：

• 安全敏感文件的上傳目標(biāo)URL是公共上傳目標(biāo)URL的子目錄
• 攻擊者知曉正在上傳的安全敏感文件名
• 安全敏感文件同樣通過部分PUT方式上傳

若同時(shí)滿足以下條件，則可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行：

• 應(yīng)用程序使用Tomcat基于文件的會(huì)話持久化功能（默認(rèn)存儲(chǔ)位置）
• 應(yīng)用程序包含可被反序列化攻擊利用的庫

修復(fù)與利用情況

Tomcat已發(fā)布9.0.99、10.1.35和11.0版本修復(fù)該漏洞。Wallarm研究人員確認(rèn)漏洞正遭活躍利用，攻擊者僅需發(fā)送單個(gè)PUT API請(qǐng)求即可劫持Apache Tomcat服務(wù)器。

攻擊過程分為兩個(gè)階段：

• 上傳惡意序列化會(huì)話：攻擊者發(fā)送包含base64編碼的ysoserial工具鏈的PUT請(qǐng)求，將其存儲(chǔ)至Tomcat會(huì)話目錄
• 通過會(huì)話Cookie觸發(fā)執(zhí)行：攜帶惡意JSESSIONID的GET請(qǐng)求會(huì)強(qiáng)制Tomcat反序列化并執(zhí)行載荷

防御挑戰(zhàn)

該攻擊具有以下特征導(dǎo)致防御困難：

• 無需認(rèn)證即可執(zhí)行
• base64編碼可繞過傳統(tǒng)安全過濾器檢測(cè)

多數(shù)Web應(yīng)用防火墻（WAF）無法有效識(shí)別，因?yàn)椋?/p>

• PUT請(qǐng)求看似正常且不含明顯惡意內(nèi)容
• 載荷采用base64編碼規(guī)避基于模式的檢測(cè)
• 攻擊分兩步執(zhí)行，實(shí)際攻擊發(fā)生在反序列化階段

應(yīng)對(duì)措施

CISA根據(jù)第22-01號(hào)約束性操作指令（BOD 22-01）要求聯(lián)邦機(jī)構(gòu)最遲于2025年4月22日前修復(fù)該漏洞。安全專家建議：

• 受影響用戶應(yīng)立即升級(jí)至修復(fù)版本
• 企業(yè)應(yīng)檢查基礎(chǔ)設(shè)施中是否存在該漏洞
• 關(guān)注多步驟攻擊的日志監(jiān)控，建立更完善的文件上傳檢測(cè)機(jī)制