漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813)
haoteby 2025-03-29 17:39 5 浏览
漏洞概述
漏洞类型 | 远程代码执行 |
漏洞等级 | 高危 |
漏洞编号 | CVE-2025-24813 |
漏洞评分 | 无 |
利用复杂度 | 中 |
影响版本 | 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.0.0.M1 到 9.0.98 |
利用方式 | 远程 |
POC/EXP | 已公开 |
近日, Apache Tomcat 发布更新修复漏洞(CVE-2025-24813)。为避免您的业务受影响,建议您及时开展安全风险自查。
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。Apache Tomcat 是 Java Web 开发中不可或缺的工具,尤其适合需要快速部署、轻量级且灵活的 Web 应用场景。它的简单性和开源特性使其成为开发、测试和生产环境的首选服务器之一。
据描述,由于Apache Tomcat 的 Partial PUT的原始实现使用了一个临时文件,该文件基于用户提供的文件名和路径生成,其中路径中的分隔符被替换为点号“.”。攻击者可以精心构造恶意请求,查看服务器敏感文件或向文件写入恶意执行内容、任意代码执行等。如果以下所有条件均成立,恶意用户将能够执行远程代码执行(RCE):
1、默认 Servlet 启用了写入功能(默认禁用);
2、支持部分 PUT 请求(默认启用);
3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;
4、应用程序中包含可能被用于反序列化攻击的库。
漏洞影响的产品和版本:
Apache Tomcat 11.0.0-M1 至 11.0.2
Apache Tomcat 10.1.0-M1 到 10.1.34
Apache Tomcat 9.0.0.M1 到 9.0.98
2
漏洞复现
3
资产测绘
据daydaymap数据显示互联网存在3,448,107 个资产,国内风险资产分布情况如下,主要分布在国内。
4
解决方案
1、临时缓解方案
①限制网络访,配置ip白名单,限制指定来源IP访问;
②部署针对 Apache Tomcat 平台安全监控系统,确保及时检测响应异常行为。
2、升级修复方案,官方已发布漏洞修复补丁
①升级到 Apache Tomcat 11.0.3 或更高版本;
②升级到 Apache Tomcat 10.1.35 或更高版本;
③升级到 Apache Tomcat 9.0.99 或更高版本。
5
参考链接
https://tomcat.apache.org/security-9.html
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq相关推荐
- Python爬虫进阶教程(二):线程、协程
-
简介线程线程也叫轻量级进程,它是一个基本的CPU执行单元,也是程序执行过程中的最小单元,由线程ID、程序计数器、寄存器集合和堆栈共同组成。线程的引入减小了程序并发执行时的开销,提高了操作系统的并发性能...
- A320-V2500发动机系统FADEC介绍(2)
-
目的全权数字发动机控制(FADEC)系统在所有飞行和运行阶段提供全范围发动机控制。...
- 三国志战棋版:玩家“二叔”用这套群DOT在比武中拿下31胜5负
-
声明:本文首发于今日头条,而后发布于“鼎叔闯三棋”的微信公众号、抖音、哔哩哔哩和小红书平台,如果在其他平台就是抄袭。...
- 真正的独一无二:Dot One 推出 DNA 定制系列 139英镑起
-
相信很多人在挑选衣物时有着这样的困扰,综合了性价比、面料等因素后好不容易找到了心仪的款式,还要担心是否会撞衫,不管是擦肩而过的陌生人还是身边的熟人,都令人尴尬。小部分人为此热衷于购买少量的古着或者限量...
- 崩铁:周年庆福利再升级,老角色加强时间确定,3.xdot体系反转
-
#埃安UT大一圈高级很多#...
- Dotgo推出RBMHub,扩大了CPaaS提供商的覆盖范围和功能
-
据telecompaper网7月15日报道,用于商业消息传递的RichCommunicationServices(RCS)解决方案的领先提供商Dotgo宣布推出RBMHub。RBMHub的推出扩大了C...
- 深度解析:快照取消Dot职业的将何去何从
-
写在前面曾几何时,术士的出现便被冠以dot大师的名头,从远古时期的献祭腐蚀虹吸不如暗牧一个痛,到TBC上满dot=荣誉击杀+1,到wlk接近全暴击的冰晶腐蚀,再到CTM就算了吧MOP的各种变态吸x放...
- 星穹铁道:抽卡芙卡之前,你必须了解什么是dot!
-
卡妈终于上线了,可还是有很多人不明白什么是dot伤害,抽了卡妈直接玩起了直伤流,把一个持续伤害的引爆器玩成了打手,卡妈打dot伤害是远高于直伤的,有了卡妈的玩家一直了解dot,不然这卡妈就真被玩成四不...
- 游戏界的闪耀星辰陨落:悼念知名游戏博主″dotα牛娃″
-
无尽哀思!在数字时代浪潮中,游戏不仅是消遣娱乐的代名词,更是连接心灵的桥梁,构筑了无数人的青春回忆。在这片浩瀚无垠的游戏宇宙中,有这样一位博主,他以独特的风采、深邃的洞察力和无尽的热情,成为了玩家心中...
- 直击2017新加坡同性恋聚会Pink Dot,自由爱!
-
今年的“粉红点”又来啦~这个支持LGBT群体(男女同志、双性恋、跨性别等)群体的活动,从2009年起,已经在新加坡举办8年了!”这个非营利的同性恋权益活动,主要是希望大家了解到,不管一个人的性倾向或...
- python-dotenv,一款超级实用处理环境变量python库
-
python-dotenv,一款超级实用处理环境变量python库python-dotenv概述:...
- 亚马逊语音助手毫无征兆发笑 诡异至极吓坏用户
-
来源:新华网美国电商亚马逊7日承诺,将更改名下“亚历克萨”语音系统设置,令它不会莫名发笑,免得吓坏用户。“亚历克萨”是亚马逊开发的语音助手软件,可服从用户语音指令完成对话、播放音乐等任务。依照原来设计...
- 2022最火英文网名男女生
-
精选好听英文昵称带翻译1.moveon(离开)2.Monster(怪物)3.Solo吉他手4.Finish.(散场)...
- 智能家具 RecycleDot 的出现给传统家具厂商带来新的挑战
-
从可穿戴手环、手表到智能衣服,智能硬件逐步渗透到每一个领域。最近有一对父子MikeSandru和JohnSandru在自家的车库中设计了一款智能家具RecycleDot,给日渐萧条的家具行...
- 欧洲通信卫星公司 OneWeb 敦促印度DoT尽早批准提供卫星宽带服务
-
据telecomtalk2月17日报道,欧洲通信卫星公司EutelsatOneWeb近日敦促印度电信部(DoT)尽快批准其在印度部署双地球站网关的计划,以便连接其近地轨道(LEO)全球卫星星座,并...