最近老牌服务器软件 Apache Tomcat 披露 CVE-2025-24813 漏洞,该漏洞在被公开披露仅 30 小时后就出现概念验证 (PoC),随后漏洞遭到黑客利用展开攻击。该漏洞主要影响 Apache Tomcat 11.0.0-M1~11.0.2、10.1.0-M1~10.1.34 和 9.0.0-M1~9.0.98 版,Apache Tomcat 已经发布新版本修复漏洞,但前提是用户必须升级到新版本。
根据安全公告,该漏洞涉及在满足特定条件时执行远程代码或泄露信息,攻击者如果成功利用漏洞可以查看敏感文件或者通过 PUT 请求向这些文件中注入任意内容。
在极端情况下攻击者甚至可以使用特制链接进行远程代码执行,这可能会给 Apache Tomcat 服务器造成严重危害,例如植入 Shell 进行监控或部署其他恶意脚本。
让人担忧的是没想到漏洞公开短短 30 个小时就出现了 PoC 和攻击,此次攻击利用 Apache Tomcat 的默认会话持久机制及其对部分 PUT 请求的支持。
漏洞分成两个步骤:攻击者通过 PUT 请求上传序列化的 Java 会话文件,攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化,换句话说攻击者只需要发送一个 PUT 请求,其中包含 Base64 编码的序列化 Java 荷载,该荷载被写入到 Tomcat 的会话存储目录,随后在反序列化过程中通过发送带有指向恶意会话的 JSESSIONID 的 GET 请求来执行。
这个漏洞利用起来也非常简单因为不需要进行身份验证,唯一的先决条件就是 Tomcat 使用基于文件的会话存储,而且攻击者可能很快就会改变策略,通过上传恶意 JSP 文件并修改配置,在会话存储之外植入后门。
目前 Apache Tomcat 9.0.99、10.1.35 和 11.0.3 版已经修复这个漏洞,如果贵公司使用 Tomcat 请务必立即升级到新版本,否则待服务器已经被植入后门再升级那就迟了。