Press enter or click to view image in full size
CVE-2025–24813 是 Apache Tomcat 中的一个关键安全漏洞。Apache Tomcat 是一个广泛用于托管 Java 应用的开源 Web 服务器和 Servlet 容器。该漏洞使攻击者能够远程执行任意代码、泄露敏感信息,或向受影响服务器上的文件中注入恶意内容。该漏洞源于对部分 HTTP PUT 请求的不当处理,特别是当文件名包含内部点(例如 ‘file.Name’)时。
受影响版本包括:
- Apache Tomcat 11.0.0-M1 到 11.0.2
- Apache Tomcat 10.1.0-M1 到 10.1.34
- Apache Tomcat 9.0.0.M1 到 9.0.98
利用条件:
要利用该漏洞,必须满足以下条件:
- 默认 Servlet 写入权限启用:默认 Servlet 必须开启写入权限。默认情况下,该配置是禁用的。
- 部分 PUT 支持启用:服务器必须支持部分 PUT 请求,该功能在 Apache Tomcat 中默认启用。 CSD0tFqvECLokhw9aBeRqnfvu3wZweQCHhuZWYdogRfrK2Nj5qb7z+9CCQWJEbJdHSLzOdo7FGkW8TsMPornU90J6u7KrkAJV1DZXFqGetxcT5rM0Fo5qwRXFC7FrmdAIr8y8GRs+HzkvweRxkW1xw==
