Apache Tomcat partial PUT文件上传反序列化漏洞（CVE-2025-24813）

01

—

1.漏洞描述

Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。2025年3月，官方披露 CVE-2025-24813 Apache Tomcat partial PUT文件上传反序列化漏洞。

在 CVE-2025-24813 中在开启了PUT（默认关闭）的前提下，若同时开启了tomcat 持久化Session配置，攻击者可利用PUT上传文件，并构造恶意请求触发session文件反序列化，若同时有可利用gadget的情况下可能造成代码执行。

2.影响范围

11.0.0-M1 <= Apache Tomcat < 11.0.3

10.1.0-M1 <= Apache Tomcat < 10.1.35

9.0.0.M1 <= Apache Tomcat < 9.0.99

3.安全版本

Apache Tomcat 11.0.3

Apache Tomcat 10.1.35

Apache Tomcat 9.0.99

4.缓解措施

建议升级至安全版本及其之后。
若无必要建议关闭 Default Servlet 的写入功能（设置readonly为 true）。

参考链接：

https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgqhttps://nvd.nist.gov/vuln/detail/CVE-2025-24813http://www.openwall.com/lists/oss-security/2025/03/10/5

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。