漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813)
haoteby 2025-03-29 17:39 20 浏览
漏洞概述
漏洞类型 | 远程代码执行 |
漏洞等级 | 高危 |
漏洞编号 | CVE-2025-24813 |
漏洞评分 | 无 |
利用复杂度 | 中 |
影响版本 | 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.0.0.M1 到 9.0.98 |
利用方式 | 远程 |
POC/EXP | 已公开 |
近日, Apache Tomcat 发布更新修复漏洞(CVE-2025-24813)。为避免您的业务受影响,建议您及时开展安全风险自查。
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。Apache Tomcat 是 Java Web 开发中不可或缺的工具,尤其适合需要快速部署、轻量级且灵活的 Web 应用场景。它的简单性和开源特性使其成为开发、测试和生产环境的首选服务器之一。
据描述,由于Apache Tomcat 的 Partial PUT的原始实现使用了一个临时文件,该文件基于用户提供的文件名和路径生成,其中路径中的分隔符被替换为点号“.”。攻击者可以精心构造恶意请求,查看服务器敏感文件或向文件写入恶意执行内容、任意代码执行等。如果以下所有条件均成立,恶意用户将能够执行远程代码执行(RCE):
1、默认 Servlet 启用了写入功能(默认禁用);
2、支持部分 PUT 请求(默认启用);
3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;
4、应用程序中包含可能被用于反序列化攻击的库。
漏洞影响的产品和版本:
Apache Tomcat 11.0.0-M1 至 11.0.2
Apache Tomcat 10.1.0-M1 到 10.1.34
Apache Tomcat 9.0.0.M1 到 9.0.98
2
漏洞复现
3
资产测绘
据daydaymap数据显示互联网存在3,448,107 个资产,国内风险资产分布情况如下,主要分布在国内。
4
解决方案
1、临时缓解方案
①限制网络访,配置ip白名单,限制指定来源IP访问;
②部署针对 Apache Tomcat 平台安全监控系统,确保及时检测响应异常行为。
2、升级修复方案,官方已发布漏洞修复补丁
①升级到 Apache Tomcat 11.0.3 或更高版本;
②升级到 Apache Tomcat 10.1.35 或更高版本;
③升级到 Apache Tomcat 9.0.99 或更高版本。
5
参考链接
https://tomcat.apache.org/security-9.html
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq相关推荐
- Chrome OS 41 用 Freon 取代 X11_chrome os atom
-
在刚发布的ChromeOS41里,除了常规的Wi-Fi稳定性提升(几乎所有系统的changelog里都会包含这一项)、访客模式壁纸等之外,还存在底层改变。这一更新中Google移除...
- 苹果iPad Pro再曝光 有望今年六月发布
-
自进入2015年以后,有关大屏iPad的消息便一直不绝于耳,之前就有不少媒体猜想这款全新的平板电脑将会在三月发布,不过可惜的是我么只在那次发布会上看到了MacBookPro。近日@Ubuntu团队便...
- 雷卯针对香橙派Orange Pi 5 Max开发板防雷防静电方案
-
一、应用场景高端平板、边缘计算、人工智能、云计算、AR/VR、智能安防、智能家居、Linux桌面计算机、Linux网络服务器、Android平板、Android游戏机...
- Ubuntu Server无法更新问题解决_ubuntu server not found
-
上周老家的一台运行UbuntuServer的盒子无法连接上了,中秋这两天回来打开,顺手更新一下发现更新报错。提示`E:Releasefileforhttps://mirrors.aliyun...
- 虚幻引擎5正式版发布:古墓丽影&巫师新作采用、新一代实时渲染
-
机器之心报道编辑:杜伟、陈萍虚幻引擎5的目标是「助力各种规模的团队在视觉领域和互动领域挑战极限,施展无限潜能」。...
- AMD Milan-X双路霄龙7773X平台基准测试曝光 CPU缓存总量超1.5GB
-
OpenBenchmarking基准测试数据库刚刚曝光了AMDMilan-X双路霄龙7773X平台的跑分成绩,虽然很快就被撤下,但我们还是知晓了高达1.6GB的总CPU缓存。早些时...
- 全网最新的Dify(1.7.2)私有化离线部署教程(ARM架构)
-
Hello,大家好!近期工作中有涉及到Dify私有化离线部署,特别是针对于一些国产设备。因此特别整理了该教程,实测有效!有需要的小伙伴可以参考下!本文主要针对Dify1.7.2最新版本+国产操作系...
- 在ubuntu下新建asp.net core项目_创建ubuntu
-
本文一步步讲述在ubuntu下用visualstudiocode创建asp.netcore项目的过程。step1:环境操作系统:virtualbox下安装的lubuntu。请不要开启“硬件...
-
- 在晶晨A311D2处理器上进行Linux硬件视频编码
-
在KhadasVIM4AmogicA311D2SBC上,我更多的时间是在使用Ubuntu22.04。它的总体性能还不错,只不过缺少3D图形加速和硬件视...
-
2025-08-26 17:22 haoteby
- Nacos3.0重磅来袭!全面拥抱AI,单机及集群模式安装详细教程!
-
之前和大家分享过JDK17的多版本管理及详细安装过程,然后在项目升级完jdk17后又发现之前的注册和配置中心nacos又用不了,原因是之前的nacos1.3版本的,版本太老了,已经无法适配当前新的JD...
- 电影质量级渲染来了!虚幻引擎5.3正式发布:已开放下载
-
快科技9月8日消息,日前,Unrealengine正式发布了虚幻引擎5.3,带来了大量全方位的改进。...
- 2025如何选购办公电脑?极摩客mini主机英特尔系列选购指南
-
当下,迷你主机的性能越来越强,品类也越来越多。但是CPU是不变的,基本都是AMD和英特尔的。有一个小伙伴在评论区提问,我应该如何在众多机器中选购一台符合自己的迷你主机呢?那今天我们优先把我们的系列,分...
- ubuntu 20.04+RTX4060 Ti+CUDA 11.7+cudnn
-
ububtu添加国内源sudocp/etc/apt/sources.list/etc/apt/sources.list.backupsudovim/etc/apt/sources.lis...
- Linux Mint 18将重新基于Ubuntu 16.04 带来更好硬件支持
-
项目负责人ClementLefebvre在本月6日披露了关于LinuxMint18“Sarah”操作系统的大量信息,包括带来全新扁平化体验的Mint-Y主题。而现在,这款将于年底之前上线的操作...