漏洞概况
Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。微步情报局获取到 Apache Tomcat 远程代码执行漏洞情报 CVE-2025-24813(https://x.threatbook.com/v5/vul/XVE-2025-7499)。
该漏洞利用条件较为复杂,需同时满足以下四个条件:
- 应用程序启用了 DefaultServlet 写入功能,该功能默认关闭。
- 应用支持了 partial PUT 请求,能够将恶意的序列化数据写入到会话文件中,该功能默认开启。
- 应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置,需要额外配置。
- 应用中包含一个存在反序列化漏洞的库,比如存在于类路径下的 commons-collections,此条件取决于业务实现是否依赖存在反序列化利用链的库。
综上所述,该漏洞实际利用难度较高,可酌情处置。
漏洞处置优先级(VPT)
综合处置优先级:中
| 基本信息 | 微步编号 | XVE-2025-7499 |
| CVE编号 | CVE-2025-24813 | |
| 漏洞类型 | 远程代码执行 | |
| 利用条件评估 | 利用漏洞的网络条件 | 远程 |
| 是否需要绕过安全机制 | 不需要 | |
| 对被攻击系统的要求 | 需同时满足漏洞概况中介绍的四个条件 | |
| 利用漏洞的权限要求 | 无需任何权限 | |
| 是否需要受害者配合 | 不需要 | |
| 利用情报 | POC是否公开 | 否 |
| 已知利用行为 | 否 |
漏洞影响范围
| 产品名称 | Apache软件基金会 – Apache Tomcat |
| 受影响版本 | 9.0.0.M1 ≤ version ≤ 9.0.9810.1.0-M1 ≤ version ≤ 10.1.3411.0.0-M1 ≤ version ≤ 11.0.2 |
| 有无修复补丁 | 有 |
修复方案
官方修复方案:
Apache 基金会官方已发布漏洞公告,请尽快前往下载更新补丁:https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
临时修复方案:
- 若启用了 DefaultServlet,请不要将初始参数 readonly 设置为 false。
- 若启用了 Tomcat 的文件会话持久化,可通过配置 context.xml 文件,修改默认的会话存储位置。
- 如非必要,避免将资产暴露在互联网。
– END –
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/4191.html
