漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813)
haoteby 2025-03-29 17:39 13 浏览
漏洞概述
漏洞类型 | 远程代码执行 |
漏洞等级 | 高危 |
漏洞编号 | CVE-2025-24813 |
漏洞评分 | 无 |
利用复杂度 | 中 |
影响版本 | 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.0.0.M1 到 9.0.98 |
利用方式 | 远程 |
POC/EXP | 已公开 |
近日, Apache Tomcat 发布更新修复漏洞(CVE-2025-24813)。为避免您的业务受影响,建议您及时开展安全风险自查。
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。Apache Tomcat 是 Java Web 开发中不可或缺的工具,尤其适合需要快速部署、轻量级且灵活的 Web 应用场景。它的简单性和开源特性使其成为开发、测试和生产环境的首选服务器之一。
据描述,由于Apache Tomcat 的 Partial PUT的原始实现使用了一个临时文件,该文件基于用户提供的文件名和路径生成,其中路径中的分隔符被替换为点号“.”。攻击者可以精心构造恶意请求,查看服务器敏感文件或向文件写入恶意执行内容、任意代码执行等。如果以下所有条件均成立,恶意用户将能够执行远程代码执行(RCE):
1、默认 Servlet 启用了写入功能(默认禁用);
2、支持部分 PUT 请求(默认启用);
3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;
4、应用程序中包含可能被用于反序列化攻击的库。
漏洞影响的产品和版本:
Apache Tomcat 11.0.0-M1 至 11.0.2
Apache Tomcat 10.1.0-M1 到 10.1.34
Apache Tomcat 9.0.0.M1 到 9.0.98
2
漏洞复现
3
资产测绘
据daydaymap数据显示互联网存在3,448,107 个资产,国内风险资产分布情况如下,主要分布在国内。
4
解决方案
1、临时缓解方案
①限制网络访,配置ip白名单,限制指定来源IP访问;
②部署针对 Apache Tomcat 平台安全监控系统,确保及时检测响应异常行为。
2、升级修复方案,官方已发布漏洞修复补丁
①升级到 Apache Tomcat 11.0.3 或更高版本;
②升级到 Apache Tomcat 10.1.35 或更高版本;
③升级到 Apache Tomcat 9.0.99 或更高版本。
5
参考链接
https://tomcat.apache.org/security-9.html
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq相关推荐
- 别争了,Access数据库才是真正的低代码开发平台
-
Access数据库是微软公司搞出来的“奇葩”产品。...
- Access开发轻松一键将 Access 全库表格导出为 Excel
-
hi,大家好呀!在日常工作中,Access常常是我们忠实的数据管家,默默守护着项目信息、客户列表或是库存记录。它结构清晰,录入便捷,对于许多中小型应用场景来说,无疑是个得力助手。然而,当我们需要对这...
- 跟我学:从零开始用Access设计一套完整的系统(一)
-
序言:Access是一款强大而灵活的数据库软件,可以设计和开发各种类型和规模的数据库应用程序。本文旨在为您提供从零开始设计Access数据库系统的详细指导,并通过实际案例演示如何在Access中设计和...
- 问卷调查管理程序 Access数据库 功能介绍和VBA代码分享
-
o本系统包含主要功能有:问卷管理,题目管理,问卷填写,调查结果统计,数据汇总导出o数据库系统包含:表,查询,窗体,VBA代码...
- 非绑定记录窗体查看管理数据 Access数据库功能模块 VBA代码编程
-
模块Public成绩IDnumAsLong学生成绩管理PrivateSubCommand更新_Click()DoCmd.SetWarnings(False)...
- ACCESS中的DLookUp函数是如何运算的?
-
一、DLookUp函数介绍1.DLookUp函数的用途:可以用于从指定集合(一个域)中获取符合条件的特定字段的值。2.DLookUp函数的格式为:DLookUp(expr,domain,...
- Excel常用技能分享与探讨(5-宏与VBA简介 VBA之用户窗体-一)
-
用户窗体(UserForm)是VBA中创建交互式界面的核心工具,可用于数据录入、设置参数或展示信息。...
- 【每日任务计划管理系统】Access数据库管理系统 VBA代码分享
-
窗体系统主页文本框,组合框,按钮,子窗体OptionCompareDatabase...
- VBA高效开发:用用户窗体打造个性化数据录入工具
-
在日常办公中,Excel的数据录入是否总让你陷入这些困境?手动输入易错、格式混乱难追溯、重复操作耗时费力。今天,我们将突破常规,利用VBA的用户窗体(UserForm)构建一套“智能校验、流程清晰、...
- VBA编程(基于Access)第1课:VBA的作用和学习方法
-
VBA,英文全称VisualBasicforApplications,直接翻译过来叫做“可以直接使用的VB语言”。...
- Access数据库宏与VBA代码的使用(精品一)
-
Access数据库的宏相当于实现某一功能的一系列命令和操作,我们无需写代码,系统已经将主体代码集成一块,我们只需要做一些简单的操作即可,而VBA代码则是实实在在的代码写到程序里面,我们可以自己编写,也...
- 【每日任务管理系统】(2) VB 管理系统 代码 Visual Basic access数据库
-
窗体全部任务DimdhAsLong'存储高度差DimdwAsLong'存储宽度差...
- VBA连接access数据库开发软件(vba调用数据库连接)
-
VBA连接access数据库开发小软件虽然VBA(包括VB)已不再流行,但是在某些场合还是比较方便的,尤其对非编程专业人员。灵活使用VBA,可以很十分方便的处理excel,access数据,提高工作效...
- 九章云极发布全新AI智算云平台:支持秒级生成百万级Token
-
6月16日,在在九章云极智能计算科技论坛上,九章云极宣布推出全新AI智算云平台“九章智算云AlayaNeWCloud2.0”,该平台基于Serverless技术架构与强化学习技术(RL)的深度融合...
- 浅谈基于大数据技术下的“云旅游”平台运营策略研究
-
云旅游体验平台是利用大数据和虚拟技术,构建虚拟旅游环境,能够改变旅游企业的营销模式和旅游者的消费模式。本文从云旅平台多维度数据信息的获取与分析,平台体验质量反馈信息数据构建,云旅游平台服务功能设计方案...