POC公开后，攻击者立刻利用Apache Tomcat 漏洞（CVE-2025-24813）

最近披露的 Apache Tomcat 漏洞（编号为 CVE-2025-24813）在公开 PoC 发布仅 30 小时后就被积极利用。

该漏洞是一个 Apache Tomcat 中的路径等效性缺陷，如果满足特定条件，则允许远程代码执行或信息泄露。该漏洞影响多个版本，包括 11.0.0-M1 至 11.0.2、10.1.0-M1 至 10.1.34 和 9.0.0.M1 至 9.0.98。利用该漏洞需要启用写入的默认 servlet、部分 PUT 支持和特定的文件处理条件。

漏洞公告（https://tomcat.apache.org/security-11.html）中写道：“部分 PUT 的原始实现使用基于用户提供的文件名和路径的临时文件，并将路径分隔符替换为“。”。”

如果以下所有配置存在，则恶意用户能够查看安全敏感文件和/或向这些文件中注入内容：

• 为默认 servlet     启用写入（默认情况下禁用）
• 支持部分 PUT（默认启用）
• 安全敏感上传的目标     URL，是公开上传的目标 URL 的子目录
• 攻击者知道正在上传的安全敏感文件的名称
• 安全敏感文件也通过部分 PUT 上传

如果以下所有配置存在，则恶意用户能够执行远程代码执行：

• 为默认 servlet     启用写入（默认情况下禁用）
• 支持部分 PUT（默认启用）
• 应用程序使用 Tomcat     基于文件的会话持久性和默认存储位置
• 应用程序包含一个可能被反序列化攻击利用的库”

Tomcat 版本 9.0.99、10.1.35 和 11.0解决了该漏洞。

Wallarm 研究人员确认该漏洞已被积极利用，并补充说攻击者可以通过单个 PUT API 请求劫持 Apache Tomcat 服务器，PoC 已在互联网公开。

Wallarm 发布的公告（https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild/）称： “一种破坏性极强的新远程代码执行 (RCE) 漏洞 CVE-2025-24813现已被广泛利用。攻击者只需一个 PUT API 请求即可接管易受攻击的 Apache Tomcat 服务器。该漏洞最初由中国论坛用户 iSee857 公开发布：CVE-2025-24813 PoC by iSee857。”

该攻击通过上传恶意 Java 会话文件并通过 GET 请求触发反序列化来利用 Tomcat 的会话持久性和部分 PUT 请求。

攻击包括两个步骤：

上传恶意序列化会话- 攻击者发送包含 base64 编码的 ysoserial 小工具链的 PUT 请求，并将其存储在 Tomcat 的会话目录中。

通过会话 Cookie 触发执行——带有引用恶意会话的 JSESSIONID 的 GET 请求强制 Tomcat 反序列化并执行有效负载，从而授予远程访问权限。

“这种攻击执行起来非常简单，不需要身份验证。唯一的要求是 Tomcat 使用基于文件的会话存储，这在许多部署中很常见。”该咨询报告总结道。“更糟糕的是，base64 编码允许漏洞绕过大多数传统的安全过滤器，这使得检测变得具有挑战性。”

Wallarm 研究人员警告称，大多数 Web 应用程序防火墙 (WAF) 都无法检测到这种攻击，因为 PUT 请求看起来很正常，没有明显的恶意内容。

有效载荷采用 base64 编码，可以逃避基于模式的检测，攻击分两步进行，仅在反序列化期间执行。此外，大多数 WAF 不会彻底检查上传的文件或跟踪多步骤漏洞。因此，当组织在其日志中注意到漏洞时，已经为时已晚。

建议用户立即更新受影响的 Tomcat 版本以减轻潜在威胁。

新闻链接：

https://securityaffairs.com/175522/security/threat-actors-rapidly-exploit-new-apache-tomcat-flaw-following-poc-release.html

讲述普通人能听懂的安全故事