在PoC发布后，威胁行为者迅速利用新的Apache Tomcat漏洞

新披露的Apache Tomcat漏洞，编号为CVE-2025-24813，在公开的概念验证（PoC）发布仅30小时后，便遭到积极利用。

该漏洞是Apache Tomcat中的一个路径等价问题，若满足特定条件，可导致远程代码执行或信息泄露。此漏洞影响多个版本，包括11.0.0-M1至11.0.2、10.1.0-M1至10.1.34以及9.0.0.M1至9.0.98。利用此漏洞需满足以下条件：默认servlet启用写权限、支持部分PUT请求以及特定的文件处理条件。

部分PUT的原始实现基于用户提供的文件名和路径创建临时文件，并将路径分隔符替换为‘.’。

如果以下所有条件均为真，恶意用户能够查看安全敏感文件和/或向这些文件注入内容：

• 默认servlet启用写权限（默认禁用）

• 支持部分PUT请求（默认启用）

• 安全敏感文件上传的目标URL是公共上传目标URL的子目录

• 攻击者知晓正在上传的安全敏感文件的名称

• 安全敏感文件也通过部分PUT上传

如果以下所有条件均为真，恶意用户能够执行远程代码：

• 默认servlet启用写权限（默认禁用）

• 支持部分PUT请求（默认启用）

• 应用程序使用Tomcat基于文件的会话持久化，且存储位置为默认

• 应用程序包含可能被反序列化攻击利用的库”

Tomcat版本9.0.99、10.1.35和11.0已修复该漏洞。

Wallarm研究人员确认该漏洞正在被积极利用，并补充称，攻击者可通过单个PUT API请求劫持Apache Tomcat服务器。PoC已在网上公开。

“一个毁灭性的新远程代码执行（RCE）漏洞，CVE-2025-24813，现已在野外被积极利用。”Wallarm发布的公告中写道。“攻击者只需一个PUT API请求即可接管易受攻击的Apache Tomcat服务器。该漏洞利用最初由中国论坛用户iSee857发布，现已在线公开：iSee857的CVE-2025-24813 PoC。”

该攻击利用Tomcat的会话持久化和部分PUT请求，通过上传恶意Java会话文件并通过GET请求触发反序列化来实施。

攻击分为两步：

1. **上传恶意序列化会话**——攻击者发送包含base64编码的ysoserial gadget链的PUT请求，将其存储在Tomcat的会话目录中。

2. **通过会话Cookie触发执行**——带有引用恶意会话的JSESSIONID的GET请求迫使Tomcat反序列化并执行有效负载，从而获得远程访问权限。

“此攻击执行极为简单，且无需身份验证。唯一的要求是Tomcat使用基于文件的会话存储，这在许多部署中很常见。”公告总结道。“更糟糕的是，base64编码使漏洞利用能够绕过大多数传统安全过滤器，增加了检测难度。”

Wallarm研究人员警告称，大多数Web应用防火墙（WAF）无法检测到此攻击，因为PUT请求看起来正常且缺乏明显的恶意内容。有效负载经过base64编码，规避了基于模式的检测，且攻击分两步进行，执行仅在反序列化期间发生。此外，大多数WAF不会彻底检查上传的文件或跟踪多步漏洞利用。因此，当组织在日志中发现入侵时，往往为时已晚。

建议用户立即更新受影响的Tomcat版本，以缓解潜在威胁。