漏洞概况

美国网络安全和基础设施安全局（CISA）已将Apache Tomcat路径等效漏洞（编号CVE-2025-24813）列入其已知被利用漏洞（KEV）目录。该漏洞在公开概念验证（PoC）代码发布仅30小时后即遭活跃利用。

技术细节

该漏洞属于Apache Tomcat路径等效缺陷，在满足特定条件时可导致远程代码执行或信息泄露。受影响版本包括：

• 11.0.0-M1至11.0.2
• 10.1.0-M1至10.1.34
• 9.0.0.M1至9.0.98

漏洞利用需同时满足以下条件：

1. 默认Servlet启用写入功能（默认禁用）
2. 启用部分PUT请求支持（默认启用）
3. 存在特定文件处理条件

根据安全公告，原始实现中部分PUT请求会基于用户提供的文件名和路径创建临时文件，并将路径分隔符替换为"."。当满足以下全部条件时，攻击者可查看敏感文件或注入恶意内容：

• 安全敏感文件的上传目标URL是公共上传目标URL的子目录
• 攻击者知晓正在上传的安全敏感文件名
• 安全敏感文件同样通过部分PUT方式上传

若同时满足以下条件，则可实现远程代码执行：

• 应用程序使用Tomcat基于文件的会话持久化功能（默认存储位置）
• 应用程序包含可被反序列化攻击利用的库

修复与利用情况

Tomcat已发布9.0.99、10.1.35和11.0版本修复该漏洞。Wallarm研究人员确认漏洞正遭活跃利用，攻击者仅需发送单个PUT API请求即可劫持Apache Tomcat服务器。

攻击过程分为两个阶段：

1. 上传恶意序列化会话：攻击者发送包含base64编码的ysoserial工具链的PUT请求，将其存储至Tomcat会话目录
2. 通过会话Cookie触发执行：携带恶意JSESSIONID的GET请求会强制Tomcat反序列化并执行载荷

防御挑战

该攻击具有以下特征导致防御困难：

• 无需认证即可执行
• base64编码可绕过传统安全过滤器检测
• 多数Web应用防火墙（WAF）无法有效识别，因为：
  • PUT请求看似正常且不含明显恶意内容
  • 载荷采用base64编码规避基于模式的检测
  • 攻击分两步执行，实际攻击发生在反序列化阶段

应对措施

CISA根据第22-01号约束性操作指令（BOD 22-01）要求联邦机构最迟于2025年4月22日前修复该漏洞。安全专家建议：

1. 受影响用户应立即升级至修复版本
2. 企业应检查基础设施中是否存在该漏洞
3. 关注多步骤攻击的日志监控，建立更完善的文件上传检测机制

参考来源：

U.S. CISA adds Apache Tomcat flaw to its Known Exploited Vulnerabilities catalog

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）