【漏洞通告】Apache Tomcat路径遍历漏洞（CVE-2025-55752）

阅读： 25

通告编号:NS-2025-0048

TAG：	Apache Tomcat、路径遍历、CVE-2025-55752
漏洞危害：	攻击者利用此漏洞，可实现路径遍历或远程代码执行。
版本：	1.0

1 漏洞概述

近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Tomcat路径遍历漏洞（CVE-2025-55752）；此漏洞为修复CVE-2016-5388时引入的缺陷，由于在URL解码之前对重写的URL进行了规范化处理，如果系统配置了重写规则将查询参数重写到URL中，经过身份验证的攻击者可通过构造特制的URI绕过对/WEB-INF/和/META-INF/等受保护目录的安全限制。当目标服务器同时启用了PUT方法时，攻击者可上传恶意文件，从而实现远程代码执行。CVSS评分7.5，请相关用户尽快采取措施进行防护。

Apache Tomcat是一个开源的Java Servlet容器和Web服务器，支持运行Java Servlet、JavaServer Pages (JSP)和其他基于Java的Web应用程序，广泛用于开发和部署企业级Web应用。

参考链接：

https://www.mail-archive.com/announce@apache.org/msg10465.html

2 影响范围

受影响版本

11.0.0-M1 <= Apache Tomcat <= 11.0.10
10.1.0-M1 <= Apache Tomcat <= 10.1.44
9.0.0.M1 <= Apache Tomcat <= 9.0.108
8.5.6 <= Apache Tomcat <= 8.5.100（EOL）

注：官方已停止维护的早期版本也可能受影响。

不受影响版本

Apache Tomcat >= 11.0.11
Apache Tomcat >= 10.1.45
Apache Tomcat >= 9.0.109

3 漏洞检测

3.1 人工检测

一：从Apache Tomcat官网下载的安装包名称中会包含Tomcat的版本号，如果用户解压后没有更改Tomcat的目录名称，可以通过查看文件夹名称来确定当前使用的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。也可以进入Tomcat安装目录的bin目录，运行version.bat（Linux运行version.sh）后，可查看当前的软件版本号。

二、用户可通过检查系统的conf\web.xml文件，查看是否开启了PUT方法：org.apache.catalina.servlets.DefaultServlet处readonly是否设置成了false。

4 暴露面风险排查

4.1 云端检测

绿盟科技外部攻击面管理服务（EASM）支持CVE-2025-55752漏洞风险的互联网资产排查，目前已帮助服务客户群体完成了暴露面排查，在威胁发生前及时进行漏洞预警与闭环处置。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

5 漏洞防护

5.1 官方升级

目前官方已发布新版本修复了该漏洞，建议受影响的用户及时升级防护，下载链接：

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

5.2 临时防护措施

若相关用户暂时无法进行升级操作，也可使用下列措施进行临时缓解：

1、在不影响业务的前提下，相关用户可将conf/web.xml文件中的readonly参数设置为true或进行注释。

2、禁用PUT方法并重启Tomcat服务使配置生效。

3、检查URL重写规则，限制对/WEB-INF/和/META-INF/等受保护目录的访问。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。