近日,Apache Tomcat曝出一项安全漏洞,在公开发布概念验证(PoC)仅30小时后,该漏洞即遭到攻击者利用。这一漏洞编号为CVE-2025-24813,主要影响以下版本:
- Apache Tomcat 11.0.0-M1 至 11.0.2
- Apache Tomcat 10.1.0-M1 至 10.1.34
- Apache Tomcat 9.0.0-M1 至 9.0.98
漏洞详情与利用条件
该漏洞可能导致远程代码执行或信息泄露,具体利用条件如下:
- 默认Servlet的写入功能已启用(默认禁用)
- 支持部分PUT请求(默认启用)
- 安全敏感文件上传的目标URL是公开上传目标URL的子目录
- 攻击者知道正在上传的安全敏感文件的名称
- 安全敏感文件通过部分PUT请求上传
成功利用该漏洞后,恶意用户可以通过PUT请求查看安全敏感文件或向这些文件中注入任意内容。
此外,如果满足以下所有条件,攻击者还可实现远程代码执行:
- 默认Servlet的写入功能已启用(默认禁用)
- 支持部分PUT请求(默认启用)
- 应用程序使用Tomcat基于文件的会话持久化机制,且存储位置为默认路径
- 应用程序包含可能被反序列化攻击利用的库
漏洞修复与利用现状
上周,项目维护人员发布公告称,该漏洞已在Tomcat 9.0.99、10.1.35和11.0.3版本中修复。
但令人担忧的是,据Wallarm报告,该漏洞已经遭到利用。该公司表示:“该攻击利用了Tomcat的默认会话持久化机制及其对部分PUT请求的支持。”利用过程分为两步:首先,攻击者通过PUT请求上传一个序列化的Java会话文件;然后,攻击者通过GET请求引用恶意会话ID来触发反序列化。
换言之,攻击者发送一个包含Base64编码的序列化Java有效负载的PUT请求,该负载会被写入Tomcat的会话存储目录,随后在发送带有指向恶意会话的JSESSIONID的GET请求时被执行反序列化。
Wallarm还指出,该漏洞利用起来极其简单,且无需身份验证。唯一的先决条件是Tomcat使用基于文件的会话存储。
该公司补充道:“虽然该攻击利用了会话存储,但更大的问题是Tomcat对部分PUT请求的处理,这允许攻击者将几乎任何文件上传到任意位置。攻击者很快就会改变策略,上传恶意的JSP文件、修改配置并在会话存储之外植入后门。”
建议运行受影响Tomcat版本的用户尽快更新实例,以缓解潜在威胁。
参考来源:
Apache Tomcat Vulnerability Actively Exploited Just 30 Hours After Public Disclosure
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
