Apache Tomcat 漏洞公开发布仅 30 小时后即遭利用

近日 ，漏洞利用Apache Tomcat曝出一项安全漏洞
，公开在公开发布概念验证（PoC）仅30小时后，发布该漏洞即遭到攻击者利用。仅小即遭这一漏洞编号为CVE-2025-24813 ，时后主要影响以下版本 ：

Apache Tomcat 11.0.0-M1 至 11.0.2Apache Tomcat 10.1.0-M1 至 10.1.34Apache Tomcat 9.0.0-M1 至 9.0.98

漏洞详情与利用条件

该漏洞可能导致远程代码执行或信息泄露，漏洞利用具体利用条件如下：

默认Servlet的公开写入功能已启用（默认禁用）支持部分PUT请求（默认启用）安全敏感文件上传的目标URL是公开上传目标URL的子目录攻击者知道正在上传的安全敏感文件的香港云服务器名称安全敏感文件通过部分PUT请求上传

成功利用该漏洞后 ，恶意用户可以通过PUT请求查看安全敏感文件或向这些文件中注入任意内容。发布

此外，仅小即遭如果满足以下所有条件 ，时后攻击者还可实现远程代码执行：

默认Servlet的漏洞利用写入功能已启用（默认禁用）支持部分PUT请求（默认启用）应用程序使用Tomcat基于文件的会话持久化机制 ，且存储位置为默认路径应用程序包含可能被反序列化攻击利用的公开库漏洞修复与利用现状

上周 ，项目维护人员发布公告称，发布该漏洞已在Tomcat 9.0.99 、模板下载仅小即遭10.1.35和11.0.3版本中修复  。时后

但令人担忧的是，据Wallarm报告，该漏洞已经遭到利用
。该公司表示 ：“该攻击利用了Tomcat的默认会话持久化机制及其对部分PUT请求的支持。”利用过程分为两步 ：首先 ，攻击者通过PUT请求上传一个序列化的源码下载Java会话文件；然后，攻击者通过GET请求引用恶意会话ID来触发反序列化 。

换言之 ，攻击者发送一个包含Base64编码的序列化Java有效负载的PUT请求
，该负载会被写入Tomcat的会话存储目录，随后在发送带有指向恶意会话的JSESSIONID的GET请求时被执行反序列化。免费模板

Wallarm还指出，该漏洞利用起来极其简单，且无需身份验证。唯一的先决条件是Tomcat使用基于文件的会话存储。

该公司补充道
：“虽然该攻击利用了会话存储 ，但更大的问题是Tomcat对部分PUT请求的服务器租用处理 ，这允许攻击者将几乎任何文件上传到任意位置。攻击者很快就会改变策略，上传恶意的JSP文件、修改配置并在会话存储之外植入后门 。”

建议运行受影响Tomcat版本的用户尽快更新实例，以缓解潜在威胁 。