Press enter or click to view image in full size
CVE-2025–24813 是 Apache Tomcat 中的一个严重安全漏洞。Apache Tomcat 是一个广泛用于托管 Java 应用程序的开源 Web 服务器和 Servlet 容器。该漏洞使攻击者能够在受影响服务器上远程执行任意代码、泄露敏感信息或向文件中注入恶意内容。漏洞源于对部分 HTTP PUT 请求处理不当,特别是当文件名包含内部点号(例如 file.Name)时。
受影响版本
- Apache Tomcat 11.0.0-M1 至 11.0.2
- Apache Tomcat 10.1.0-M1 至 10.1.34
- Apache Tomcat 9.0.0.M1 至 9.0.98
利用条件
攻击者要利用此漏洞,必须满足以下条件:
- 默认 Servlet 写权限启用:默认 Servlet 必须开启写权限。默认情况下,该配置是禁用的。
- 部分 PUT 支持启用:服务器必须支持部分 PUT 请求。该功能在 Apache Tomcat 中默认启用。 CSD0tFqvECLokhw9aBeRqnfvu3wZweQCHhuZWYdogRfrK2Nj5qb7z+9CCQWJEbJdHSLzOdo7FGkW8TsMPornU90J6u7KrkAJV1DZXFqGetxcT5rM0Fo5qwRXFC7FrmdAIr8y8GRs+HzkvweRxkW1xw==
