百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

Apache Tomcat 漏洞公开发布仅 30 小时后即遭利用

haoteby 2025-03-29 17:39 5 浏览

近日,Apache Tomcat曝出一项安全漏洞,在公开发布概念验证(PoC)仅30小时后,该漏洞即遭到攻击者利用。这一漏洞编号为CVE-2025-24813,主要影响以下版本:

  • Apache Tomcat 11.0.0-M1 至 11.0.2
  • Apache Tomcat 10.1.0-M1 至 10.1.34
  • Apache Tomcat 9.0.0-M1 至 9.0.98

漏洞详情与利用条件

该漏洞可能导致远程代码执行或信息泄露,具体利用条件如下:

  • 默认Servlet的写入功能已启用(默认禁用)
  • 支持部分PUT请求(默认启用)
  • 安全敏感文件上传的目标URL是公开上传目标URL的子目录
  • 攻击者知道正在上传的安全敏感文件的名称
  • 安全敏感文件通过部分PUT请求上传

成功利用该漏洞后,恶意用户可以通过PUT请求查看安全敏感文件或向这些文件中注入任意内容。

此外,如果满足以下所有条件,攻击者还可实现远程代码执行:

  • 默认Servlet的写入功能已启用(默认禁用)
  • 支持部分PUT请求(默认启用)
  • 应用程序使用Tomcat基于文件的会话持久化机制,且存储位置为默认路径
  • 应用程序包含可能被反序列化攻击利用的库

漏洞修复与利用现状

上周,项目维护人员发布公告称,该漏洞已在Tomcat 9.0.99、10.1.35和11.0.3版本中修复。

但令人担忧的是,据Wallarm报告,该漏洞已经遭到利用。该公司表示:“该攻击利用了Tomcat的默认会话持久化机制及其对部分PUT请求的支持。”利用过程分为两步:首先,攻击者通过PUT请求上传一个序列化的Java会话文件;然后,攻击者通过GET请求引用恶意会话ID来触发反序列化。

换言之,攻击者发送一个包含Base64编码的序列化Java有效负载的PUT请求,该负载会被写入Tomcat的会话存储目录,随后在发送带有指向恶意会话的JSESSIONID的GET请求时被执行反序列化。

Wallarm还指出,该漏洞利用起来极其简单,且无需身份验证。唯一的先决条件是Tomcat使用基于文件的会话存储。

该公司补充道:“虽然该攻击利用了会话存储,但更大的问题是Tomcat对部分PUT请求的处理,这允许攻击者将几乎任何文件上传到任意位置。攻击者很快就会改变策略,上传恶意的JSP文件、修改配置并在会话存储之外植入后门。”

建议运行受影响Tomcat版本的用户尽快更新实例,以缓解潜在威胁。

Apache Tomcat 漏洞公开发布仅 30 小时后即遭利用 - 资讯活动 - 航天云网,国家工业互联网平台

相关推荐

Python爬虫进阶教程(二):线程、协程

简介线程线程也叫轻量级进程,它是一个基本的CPU执行单元,也是程序执行过程中的最小单元,由线程ID、程序计数器、寄存器集合和堆栈共同组成。线程的引入减小了程序并发执行时的开销,提高了操作系统的并发性能...

A320-V2500发动机系统FADEC介绍(2)

目的全权数字发动机控制(FADEC)系统在所有飞行和运行阶段提供全范围发动机控制。...

三国志战棋版:玩家“二叔”用这套群DOT在比武中拿下31胜5负

声明:本文首发于今日头条,而后发布于“鼎叔闯三棋”的微信公众号、抖音、哔哩哔哩和小红书平台,如果在其他平台就是抄袭。...

真正的独一无二:Dot One 推出 DNA 定制系列 139英镑起

相信很多人在挑选衣物时有着这样的困扰,综合了性价比、面料等因素后好不容易找到了心仪的款式,还要担心是否会撞衫,不管是擦肩而过的陌生人还是身边的熟人,都令人尴尬。小部分人为此热衷于购买少量的古着或者限量...

崩铁:周年庆福利再升级,老角色加强时间确定,3.xdot体系反转

#埃安UT大一圈高级很多#...

Dotgo推出RBMHub,扩大了CPaaS提供商的覆盖范围和功能

据telecompaper网7月15日报道,用于商业消息传递的RichCommunicationServices(RCS)解决方案的领先提供商Dotgo宣布推出RBMHub。RBMHub的推出扩大了C...

深度解析:快照取消Dot职业的将何去何从

写在前面曾几何时,术士的出现便被冠以dot大师的名头,从远古时期的献祭腐蚀虹吸不如暗牧一个痛,到TBC上满dot=荣誉击杀+1,到wlk接近全暴击的冰晶腐蚀,再到CTM就算了吧MOP的各种变态吸x放...

星穹铁道:抽卡芙卡之前,你必须了解什么是dot!

卡妈终于上线了,可还是有很多人不明白什么是dot伤害,抽了卡妈直接玩起了直伤流,把一个持续伤害的引爆器玩成了打手,卡妈打dot伤害是远高于直伤的,有了卡妈的玩家一直了解dot,不然这卡妈就真被玩成四不...

游戏界的闪耀星辰陨落:悼念知名游戏博主″dotα牛娃″

无尽哀思!在数字时代浪潮中,游戏不仅是消遣娱乐的代名词,更是连接心灵的桥梁,构筑了无数人的青春回忆。在这片浩瀚无垠的游戏宇宙中,有这样一位博主,他以独特的风采、深邃的洞察力和无尽的热情,成为了玩家心中...

直击2017新加坡同性恋聚会Pink Dot,自由爱!

今年的“粉红点”又来啦~这个支持LGBT群体(男女同志、双性恋、跨性别等)群体的活动,从2009年起,已经在新加坡举办8年了!”这个非营利的同性恋权益活动,主要是希望大家了解到,不管一个人的性倾向或...

python-dotenv,一款超级实用处理环境变量python库

python-dotenv,一款超级实用处理环境变量python库python-dotenv概述:...

亚马逊语音助手毫无征兆发笑 诡异至极吓坏用户

来源:新华网美国电商亚马逊7日承诺,将更改名下“亚历克萨”语音系统设置,令它不会莫名发笑,免得吓坏用户。“亚历克萨”是亚马逊开发的语音助手软件,可服从用户语音指令完成对话、播放音乐等任务。依照原来设计...

2022最火英文网名男女生

精选好听英文昵称带翻译1.moveon(离开)2.Monster(怪物)3.Solo吉他手4.Finish.(散场)...

智能家具 RecycleDot 的出现给传统家具厂商带来新的挑战

从可穿戴手环、手表到智能衣服,智能硬件逐步渗透到每一个领域。最近有一对父子MikeSandru和JohnSandru在自家的车库中设计了一款智能家具RecycleDot,给日渐萧条的家具行...

欧洲通信卫星公司 OneWeb 敦促印度DoT尽早批准提供卫星宽带服务

据telecomtalk2月17日报道,欧洲通信卫星公司EutelsatOneWeb近日敦促印度电信部(DoT)尽快批准其在印度部署双地球站网关的计划,以便连接其近地轨道(LEO)全球卫星星座,并...