Apache Tomcat 漏洞公开发布仅 30 小时后即遭利用
haoteby 2025-03-29 17:39 20 浏览
近日,Apache Tomcat曝出一项安全漏洞,在公开发布概念验证(PoC)仅30小时后,该漏洞即遭到攻击者利用。这一漏洞编号为CVE-2025-24813,主要影响以下版本:
- Apache Tomcat 11.0.0-M1 至 11.0.2
- Apache Tomcat 10.1.0-M1 至 10.1.34
- Apache Tomcat 9.0.0-M1 至 9.0.98
漏洞详情与利用条件
该漏洞可能导致远程代码执行或信息泄露,具体利用条件如下:
- 默认Servlet的写入功能已启用(默认禁用)
- 支持部分PUT请求(默认启用)
- 安全敏感文件上传的目标URL是公开上传目标URL的子目录
- 攻击者知道正在上传的安全敏感文件的名称
- 安全敏感文件通过部分PUT请求上传
成功利用该漏洞后,恶意用户可以通过PUT请求查看安全敏感文件或向这些文件中注入任意内容。
此外,如果满足以下所有条件,攻击者还可实现远程代码执行:
- 默认Servlet的写入功能已启用(默认禁用)
- 支持部分PUT请求(默认启用)
- 应用程序使用Tomcat基于文件的会话持久化机制,且存储位置为默认路径
- 应用程序包含可能被反序列化攻击利用的库
漏洞修复与利用现状
上周,项目维护人员发布公告称,该漏洞已在Tomcat 9.0.99、10.1.35和11.0.3版本中修复。
但令人担忧的是,据Wallarm报告,该漏洞已经遭到利用。该公司表示:“该攻击利用了Tomcat的默认会话持久化机制及其对部分PUT请求的支持。”利用过程分为两步:首先,攻击者通过PUT请求上传一个序列化的Java会话文件;然后,攻击者通过GET请求引用恶意会话ID来触发反序列化。
换言之,攻击者发送一个包含Base64编码的序列化Java有效负载的PUT请求,该负载会被写入Tomcat的会话存储目录,随后在发送带有指向恶意会话的JSESSIONID的GET请求时被执行反序列化。
Wallarm还指出,该漏洞利用起来极其简单,且无需身份验证。唯一的先决条件是Tomcat使用基于文件的会话存储。
该公司补充道:“虽然该攻击利用了会话存储,但更大的问题是Tomcat对部分PUT请求的处理,这允许攻击者将几乎任何文件上传到任意位置。攻击者很快就会改变策略,上传恶意的JSP文件、修改配置并在会话存储之外植入后门。”
建议运行受影响Tomcat版本的用户尽快更新实例,以缓解潜在威胁。
相关推荐
- Chrome OS 41 用 Freon 取代 X11_chrome os atom
-
在刚发布的ChromeOS41里,除了常规的Wi-Fi稳定性提升(几乎所有系统的changelog里都会包含这一项)、访客模式壁纸等之外,还存在底层改变。这一更新中Google移除...
- 苹果iPad Pro再曝光 有望今年六月发布
-
自进入2015年以后,有关大屏iPad的消息便一直不绝于耳,之前就有不少媒体猜想这款全新的平板电脑将会在三月发布,不过可惜的是我么只在那次发布会上看到了MacBookPro。近日@Ubuntu团队便...
- 雷卯针对香橙派Orange Pi 5 Max开发板防雷防静电方案
-
一、应用场景高端平板、边缘计算、人工智能、云计算、AR/VR、智能安防、智能家居、Linux桌面计算机、Linux网络服务器、Android平板、Android游戏机...
- Ubuntu Server无法更新问题解决_ubuntu server not found
-
上周老家的一台运行UbuntuServer的盒子无法连接上了,中秋这两天回来打开,顺手更新一下发现更新报错。提示`E:Releasefileforhttps://mirrors.aliyun...
- 虚幻引擎5正式版发布:古墓丽影&巫师新作采用、新一代实时渲染
-
机器之心报道编辑:杜伟、陈萍虚幻引擎5的目标是「助力各种规模的团队在视觉领域和互动领域挑战极限,施展无限潜能」。...
- AMD Milan-X双路霄龙7773X平台基准测试曝光 CPU缓存总量超1.5GB
-
OpenBenchmarking基准测试数据库刚刚曝光了AMDMilan-X双路霄龙7773X平台的跑分成绩,虽然很快就被撤下,但我们还是知晓了高达1.6GB的总CPU缓存。早些时...
- 全网最新的Dify(1.7.2)私有化离线部署教程(ARM架构)
-
Hello,大家好!近期工作中有涉及到Dify私有化离线部署,特别是针对于一些国产设备。因此特别整理了该教程,实测有效!有需要的小伙伴可以参考下!本文主要针对Dify1.7.2最新版本+国产操作系...
- 在ubuntu下新建asp.net core项目_创建ubuntu
-
本文一步步讲述在ubuntu下用visualstudiocode创建asp.netcore项目的过程。step1:环境操作系统:virtualbox下安装的lubuntu。请不要开启“硬件...
-
- 在晶晨A311D2处理器上进行Linux硬件视频编码
-
在KhadasVIM4AmogicA311D2SBC上,我更多的时间是在使用Ubuntu22.04。它的总体性能还不错,只不过缺少3D图形加速和硬件视...
-
2025-08-26 17:22 haoteby
- Nacos3.0重磅来袭!全面拥抱AI,单机及集群模式安装详细教程!
-
之前和大家分享过JDK17的多版本管理及详细安装过程,然后在项目升级完jdk17后又发现之前的注册和配置中心nacos又用不了,原因是之前的nacos1.3版本的,版本太老了,已经无法适配当前新的JD...
- 电影质量级渲染来了!虚幻引擎5.3正式发布:已开放下载
-
快科技9月8日消息,日前,Unrealengine正式发布了虚幻引擎5.3,带来了大量全方位的改进。...
- 2025如何选购办公电脑?极摩客mini主机英特尔系列选购指南
-
当下,迷你主机的性能越来越强,品类也越来越多。但是CPU是不变的,基本都是AMD和英特尔的。有一个小伙伴在评论区提问,我应该如何在众多机器中选购一台符合自己的迷你主机呢?那今天我们优先把我们的系列,分...
- ubuntu 20.04+RTX4060 Ti+CUDA 11.7+cudnn
-
ububtu添加国内源sudocp/etc/apt/sources.list/etc/apt/sources.list.backupsudovim/etc/apt/sources.lis...
- Linux Mint 18将重新基于Ubuntu 16.04 带来更好硬件支持
-
项目负责人ClementLefebvre在本月6日披露了关于LinuxMint18“Sarah”操作系统的大量信息,包括带来全新扁平化体验的Mint-Y主题。而现在,这款将于年底之前上线的操作...