Apache Tomcat远程代码执行漏洞(CVE-2025-24813)

阅读: 138

一、漏洞概述

近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Tomcat远程代码执行漏洞(CVE-2025-24813);当应用程序启用了servlet的写入功能(默认关闭)、使用Tomcat文件会话持久机制和默认存储位置且包含反序列化利用库时,未经身份验证的攻击者可执行任意代码获取服务器权限。此外,当上传目标URL为公共目标URL的子目录,且攻击者知悉上传文件名称时,未经身份验证的攻击者可获取目标文件信息或添加文件内容。CVSS评分8.1,请相关用户尽快采取措施进行防护。
Apache Tomcat是一个开源的Java应用服务器,由 Apache 软件基金会开发和维护,广泛用于各种Web应用开发与部署场景中。

绿盟科技已成功复现此漏洞:

参考链接:

https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

 

二、影响范围

受影响版本

  • 0.0-M1 <= Apache Tomcat <= 11.0.2
  • 1.0-M1 <= Apache Tomcat <= 10.1.34
  • 0.0.M1 <= Apache Tomcat <= 9.0.98

 

不受影响版本

  • Apache Tomcat >= 11.0.3
  • Apache Tomcat >= 10.1.35
  • Apache Tomcat >= 9.0.99

三、漏洞检测

    • 人工检测

一:从Apache Tomcat官网下载的安装包名称中会包含Tomcat的版本号,如果用户解压后没有更改Tomcat的目录名称,可以通过查看文件夹名称来确定当前使用的版本。

如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。也可以进入Tomcat安装目录的bin目录,运行version.bat(Linux运行version.sh)后,可查看当前的软件版本号。

二、如果该版本在受影响的范围内,可检查conf\web.xml文件中是否开启了PUT方法;打开web.xml文件,看org.apache.catalina.servlets.DefaultServlet处readonly是否设置成了false。

  • 产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

  升级包版本号 升级包下载链接
RSAS V6系统插件包 V6.0R02F01.3908 https://update.nsfocus.com/update/listRsasDetail/v/vulsys
RSAS V6 Web插件包 V6.0R02F00.3705 https://update.nsfocus.com/update/listRsasDetail/v/vulweb
WVSS V6插件升级包 V6.0R03F00.348 https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
IDS 5.6.10.39062 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10
5.6.11.39062 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11
2.0.0.39062 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

 

四、暴露面风险排查

    • 云端检测

绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-24813漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查与风险验证,在威胁发生前及时进行漏洞预警与闭环处置。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

  • 本地排查

绿盟科技CTEM解决方案可以主动+被动方式进行Tomcat相关资产的发现和排查:

用户使用外部攻击面发现功能将CVE-2025-24813漏洞线索同步至云端,通过资产测绘的方式获取目标单位的受影响资产。

1、CTEM接入攻击面管理服务(EASM)的产品指纹库,支持搜索资产的端口和指纹信息:

2、通过资产列表中间件类型和版本直接匹配资产:

3、通过指纹识别或PoC扫描进行测绘:

支持端口扫描:

支持调用各类扫描设备:

绿盟科技自动化渗透测试工具(EZ)内部版也支持Tomcat的服务识别和CVE-2025-24813漏洞风险检测,可直接使用web模块进行扫描检测。(注:内部版请联系绿盟销售人员获取)

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

五、漏洞防护

    • 官方升级

目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

  • 产品防护

针对上述漏洞,绿盟科技Web应用防护系统(WAF)历史通用规则支持防护,网络入侵防护系统(IPS)与绿盟智能安全运营平台(ISOP)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护与监测能力。安全防护产品规则编号如下:

安全防护产品 升级包版本号 升级包下载链接 规则编号
IPS 5.6.10.39062 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 [28703]

[28704]
5.6.11.39062 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
2.0.0.39062 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2
ISOP 1.0.0.1.2074325 https://update.nsfocus.com/update/listisopdetail/v/V3.0R01F00NG 491329

491330

产品规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

 

  • 临时防护措施

若相关用户暂时无法进行升级操作,也可使用下列措施进行临时缓解:

1、在不影响业务的前提下,相关用户可将conf/web.xml文件中的readonly参数设置为true或进行注释。

2、禁用PUT方法并重启Tomcat服务使配置生效。

3、将org.apache.catalina.session.PersistentManager设置为false;若需启用文件会话持久化,可配置context.xml修改默认的会话存储位置。

 

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

&nbsp

Spread the word. Share this post!

Meet The Author