Apache Tomcat 远程代码执行与敏感数据泄露漏洞 (CVE-2025–24813)
Criminal IP · 阅读时长约 4 分钟 · 2025年3月27日
(图片占位:点击或回车查看完整图像)
新发现的漏洞 CVE-2025–24813 存在于 Apache Tomcat 中。该缺陷可能导致远程代码执行 (RCE)、数据泄露或文件损坏。在特定条件下,攻击者可以执行恶意代码,或访问、修改敏感文件。Apache 软件基金会已发布紧急安全公告,敦促受影响用户立即应用最新的安全补丁。
本文概述了 CVE-2025–24813,分享了真实攻击案例,并解释了如何使用 Criminal IP 资产搜索识别暴露的 Apache Tomcat 服务器,从而降低被利用的风险。
CVE-2025–24813 漏洞:路径等价性与 Partial PUT
Apache Tomcat 是一个广泛使用的开源应用服务器。CVE-2025–24813 是最近披露的漏洞,涉及 Tomcat 中的路径等价性处理和 Partial PUT 请求。该漏洞允许攻击者利用内部点(例如 file.Name)操纵文件路径,可能导致远程代码执行、信息泄露以及创建包含恶意内容的文件。当 Tomcat 默认 servlet 启用了写入权限时,该漏洞尤其容易被利用。
受影响版本
Apache 软件基金会公告称以下版本可能受 CVE-2025–24813 影响:
- Apache Tomcat 11:11.0.0-M1 ~ 11.0.2
- Apache Tomcat 10:10.1.0-M1 ~ 10.1.34
- Apache Tomcat 9:9.0.0.M1 ~ 9.0.98
当 Partial PUT 启用时,这些版本可能易受攻击。强烈建议用户升级到最新的可用版本。详细版本信息和补丁说明请查阅官方 Apache 安全公告。
可利用条件
如果 CVE-2025–24813 被利用,可能发生两种主要攻击场景。
信息泄露与数据损坏:
- 默认 servlet 启用了写入权限
- 启用了 Partial PUT 支持
- 上传敏感文件的目标 URL 是公开可访问上传 URL 的子目录
- 攻击者必须知道通过 Partial PUT 传输的已上传敏感文件的名称
远程代码执行 (RCE):
- 默认 servlet 启用了写入权限
- 启用了 Partial PUT 支持
- 应用程序使用 Tomcat 的基于文件的会话持久化,且存储位置为默认位置
- 应用程序包含易受反序列化攻击的漏洞库
如果满足所有这些条件,攻击者可能通过远程代码执行获得服务器控制权,或在系统内执行恶意代码。
使用 Criminal IP 资产搜索检测易受攻击的 Apache Tomcat 服务器
随着 CVE-2025–24813 受影响版本和 PoC 的公开,必须检查当前使用的 Apache Tomcat 服务器是否受影响,以及是否满足利用所需条件。使用 Criminal IP 资产搜索可以轻松识别 Apache Tomcat 的版本信息。通过以下三个查询,您可以识别暴露在互联网上的 Apache Tomcat 服务器并查看其版本详情。
识别暴露的 Apache Tomcat 服务器的搜索查询
Criminal IP 搜索查询:
title: Apache Tomcat/9
www.criminalip.io/asset/searc…
(图片占位:点击或回车查看完整图像)
根据 Criminal IP 资产搜索中对 “title: Apache Tomcat/9” 的搜索结果,截至 2025 年 3 月 19 日,共有 237,907 台 Apache Tomcat/9 服务器暴露在互联网上。
Criminal IP 搜索查询:
title: Apache Tomcat/10
www.criminalip.io/asset/searc…
(图片占位:点击或回车查看完整图像)
根据 “title: Apache Tomcat/10” 的搜索结果,截至 2025 年 3 月 19 日,共有 14,358 台 Apache Tomcat/10 服务器暴露在互联网上。
Criminal IP 搜索查询:
title: Apache Tomcat/11
www.criminalip.io/asset/searc…
(图片占位:点击或回车查看完整图像)
根据 Criminal IP 资产搜索中对 “title: Apache Tomcat/11” 的搜索结果,截至 2025 年 3 月 19 日,共有 3,770 台 Apache Tomcat/11 服务器暴露在互联网上。
(图片占位:点击或回车查看完整图像)
截至 2025 年 3 月 19 日,使用 Criminal IP 资产搜索进行的搜索显示,目前有数十万台 Apache Tomcat 服务器暴露在互联网上。IP 地址报告可快速概览正在使用的版本,其中许多检测到的服务器正在运行易受 CVE-2025–24813 攻击的版本,包括 9.0.33、10.1.7 和 11.0.0。在一些特定的 IP 报告中,不仅识别出 CVE-2025–24813,还识别出可追溯到 2021 年的多个 Apache Tomcat CVE。值得注意的是,其中几个漏洞在 GitHub 上已有公开的 PoC,增加了被利用的风险。
结论
CVE-2025–24813 对运行 Apache Tomcat 服务器的组织构成重大安全威胁,必须及时应用安全补丁,并采取主动措施(如限制网络访问)。此外,建议使用像 Criminal IP 这样的网络威胁情报搜索引擎和像 Criminal IP ASM 这样的攻击面管理解决方案,进行持续监控和自动化威胁检测。Apache Tomcat 用户应迅速响应此漏洞,并定期持续评估其安全态势,以防止未来出现类似威胁。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyEKBT9Q23rWWq7PtWXgRZrU8FHd4Qiba1+iYidSdv8vc8UYp1BIM3YRGaXO2p4SJcgCHqYeLKFN5mOB460uVmuD+0MhiaCxGJd9/BN5uI27Y8KkTfbA+KhAcfenakjgBvDadrpRtpYCUPjY36PBxrxb
