仅限会员阅读
攻击链分析:Apache Tomcat 漏洞(CVE-2025–24813)已在野外被利用
Cyber-AppSec
阅读时长:3 分钟 · 2025年3月17日 · 分享
2025年3月17日,网络安全研究人员报告称,Apache Tomcat 中的一个严重远程代码执行(RCE)和信息泄露漏洞(CVE-2025–24813)正被积极利用。在公开披露仅 30 小时后,攻击者就开始利用公开的概念验证代码(PoC)攻击存在漏洞的系统。
该漏洞影响多个 Tomcat 版本,允许未授权攻击者在特定条件下读取安全敏感文件或执行任意代码。利用过程依赖于 Tomcat 对部分 PUT 请求的处理方式以及会话持久化机制,对于使用受影响版本的组织来说,这是一个高风险漏洞。
以下是对攻击链及攻击者所使用方法的分析。
1. 初始访问 —— 识别存在漏洞的目标
攻击者扫描公网可访问的、运行受影响版本的 Apache Tomcat 服务器(版本范围:9.0.0-M1 至 9.0.98,10.1.0-M1 至 10.1.34,11.0.0-M1 至 11.0.2)。
利用该漏洞需要启用部分 PUT 支持(默认为启用状态)。
攻击者检查默认 Servlet 是否开启了写入权限(默认为禁用状态)。 CSD0tFqvECLokhw9aBeRqrwTEtKAgZr3is/psY/zBV3D4L1nCg8TmBFLCVeBgGXp85zzuagEnl3sM/C7H3Av3/dd+KO7kSZzCH1Sn9pZQWecXYrxH/UGDxAj8H+BWrNHTBGkN8teJyvLvENEzZx/RHBxTY6BIRf5fsaWIamWiac31Xbp7H0Tl/tjUD/izKUg
