Apache Tomcat 漏洞在公开披露仅 30 小时后遭积极利用

HackerNews 编译，转载请注明出处：

近日，Apache Tomcat 被披露存在一个安全漏洞，该漏洞在公开披露仅 30 小时后，随着公共概念验证（PoC）的发布，已在野外被积极利用。

该漏洞被追踪为 CVE-2025-24813，影响以下版本：

- Apache Tomcat 11.0.0-M1 至 11.0.2

- Apache Tomcat 10.1.0-M1 至 10.1.34

- Apache Tomcat 9.0.0-M1 至 9.0.98

当满足特定条件时，该漏洞可能导致远程代码执行或信息泄露：

- 默认 Servlet 的写入功能已启用（默认情况下禁用）

- 支持部分 PUT（默认情况下启用）

- 安全敏感上传的目标 URL 是公共上传目标 URL 的子目录

- 攻击者了解正在上传的安全敏感文件的名称

- 安全敏感文件也通过部分 PUT 上传

若成功利用该漏洞，恶意用户可查看安全敏感文件，或通过 PUT 请求将任意内容注入这些文件。

此外，若以下所有条件均满足，攻击者还可实现远程代码执行：

- 默认 Servlet 的写入功能已启用（默认情况下禁用）

- 支持部分 PUT（默认情况下启用）

- 应用程序使用了 Tomcat 的基于文件的会话持久化功能，并使用了默认存储位置

- 应用程序包含可能被用于反序列化攻击的库

上周，项目维护者在一份咨询报告中表示，该漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解决。

然而，Wallarm 公司指出，该漏洞已出现野外利用尝试。

“此次攻击利用了 Tomcat 的默认会话持久化机制及其对部分 PUT 请求的支持，”该公司表示。

“该漏洞的利用分为两个步骤：攻击者通过 PUT 请求上传一个序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。”

换句话说，这些攻击涉及发送一个包含 Base64 编码序列化 Java 负载的 PUT 请求，该请求被写入 Tomcat 的会话存储目录，随后通过发送一个带有指向恶意会话的 JSESSIONID 的 GET 请求来执行反序列化。

Wallarm 还指出，该漏洞极易被利用，且无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。

“虽然此漏洞利用了会话存储，但更大的问题是 Tomcat 对部分 PUT 处理不当，这允许几乎在任何位置上传任何文件，”它补充道。“攻击者将很快开始改变策略，上传恶意 JSP 文件，修改配置，并在会话存储之外植入后门。”

建议运行受影响版本 Tomcat 的用户尽快更新其实例，以减轻潜在威胁。

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文