Apache Tomcat CVE-2025-24813 反序列化RCE漏洞在公开后仅 30 小时就大量利用

最新推荐文章于 2025-04-14 10:05:41 发布
最新推荐文章于 2025-04-14 10:05:41 发布
阅读量357 收藏 8
点赞数 5
分类专栏: 红蓝情报站|每日漏洞与攻防动态 文章标签: apache tomcat web安全 安全威胁分析 安全性测试 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syg6921008/article/details/147017157
版权

Apache Tomcat CVE-2025-24813 反序列化RCE漏洞在公开后仅 30 小时就被黑客大量利用

转至:thehackernews
编写:factor
关注我,后续将更进此漏洞
2025 年 4 月 6 日

在这里插入图片描述
最近披露的一个影响 Apache Tomcat 的安全漏洞在公开披露仅 30 小时后就被公开概念验证 (PoC)发布,并遭到广泛利用。

该漏洞编号为**CVE-2025-24813**,影响以下版本 -

  • Apache Tomcat 11.0.0-M1 至 11.0.2
  • Apache Tomcat 10.1.0-M1 至 10.1.34
  • Apache Tomcat 9.0.0-M1 至 9.0.98

它涉及在满足特定条件时执行远程代码或泄露信息的情况 -

  • 为默认 servlet 启用写入(默认情况下禁用)
  • 支持部分 PUT(默认启用)
  • 安全敏感上传的目标 URL,是公开上传的目标 URL 的子目录
  • 攻击者知道正在上传的安全敏感文件的名称
  • 安全敏感文件也通过部分 PUT 上传

成功利用该漏洞可能允许恶意用户查看安全敏感文件或通过 PUT 请求向这些文件中注入任意内容。

此外,如果以下所有条件都成立,攻击者可以实现远程代码执行 -

  • 为默认 servlet 启用写入(默认情况下禁用)
  • 支持部分 PUT(默认启用)
  • 应用程序使用 Tomcat 基于文件的会话持久性和默认存储位置
  • 应用程序包含一个可能被反序列化攻击利用的库

在上周发布的公告中,项目维护人员表示该漏洞已在 Tomcat 版本 9.0.9910.1.3511.0.3 中得到解决。

但令人担忧的是,据 Wallarm 称,该漏洞已在野外遭到利用。

该公司表示:“此次攻击利用了 Tomcat 的默认会话持久机制及其对部分 PUT 请求的支持。”

“该漏洞分为两个步骤:攻击者通过 PUT 请求上传序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。”

换句话说,攻击需要发送一个 PUT 请求,其中包含一个 Base64 编码的序列化 Java 有效负载,该负载被写入 Tomcat 的会话存储目录,随后在反序列化过程中通过发送带有指向恶意会话的 JSESSIONID 的 GET 请求来执行。

Wallarm 还指出,该漏洞很容易利用,无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。

“虽然此漏洞滥用了会话存储,但更大的问题是 Tomcat 中的部分 PUT 处理,这允许将几乎任何文件上传到任何地方,”它补充道。“攻击者很快就会开始改变策略,上传恶意 JSP 文件,修改配置,并在会话存储之外植入后门。”

建议运行受影响版本的 Tomcat 的用户尽快更新其实例以减轻潜在威胁。

漏洞复现】Apache Tomcat 远程代码执行(CVE-2025-24813
李火火的安全圈
03-28 256
Apache Tomcat 是一个开源的、轻量级的 Java Servlet 容器和 Web 服务器,由Apache软件基金会开发和维护,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部署企业级 Web 应用。
Apache Tomcat 远程代码执行漏洞复现(CVE-2025-24813)(附脚本)
iSee857的博客
03-13 3213
漏洞源于 Tomcat DefaultServlet 处理 partial PUT 请求(基于 `Content-Range` 头的 HTTP PUT 请求)时的 临时文件命名逻辑不安全,导致攻击者可以通过构造特殊的请求路径,访问或写入安全敏感文件。(CVE-2025-24813
安全漏洞CVE-2025-24813
宣晨光
03-12 896
Apache Tomcat远程代码执行漏洞CVE-2025-24813)是一个严重的安全问题,它允许攻击者在特定条件下上传恶意Session文件并执行远程代码。以下是关于此漏洞的详细信息和建议的应对措施。
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 超详细!
欢迎来到我的博客,这里是我分享Python开发心得与信息安全探索的乐园。作为一名热衷于编程与安全的技术爱好者,我始终致力于在Python的世界里深耕细作,探索其强大的功能与无限的可能性。同时,信息安全也是我关注的重点,我深知在这个数字化时代,保护数据安全的
03-14 5021
远程代码执行漏洞(CVE-2025-24813)源于 Apache Tomcat反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。‌将 Apache Tomcat 升级至安全版本(Tomcat 11.0.2+、10.1.34+、9.0.98+),以修复反序列化漏洞及 PUT 请求处理缺陷‌。
Tomcat Session 反序列化漏洞CVE-2025-24813
玄道的网安博客
03-14 1268
核心逻辑在这里,以 range.length作为文件的长度,range.start作为起始点开始处理流,这也是为什么 length 必须要大于 body 的总长度,不然无法将内容完全上传。这部分是反序列化触发点,CVE-2020-9484出自这里,所以不难看出这其实是一个组合漏洞,当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法,也就是 doPUT,其实逻辑很简单,如以下代码。
Apache Tomcat CVE-2025-24813 安全漏洞
zhao_kang_cheng的专栏
03-21 808
为了获得真实证据,我们可以使用开源github来搜索具有此配置的存储库。根据结果,只有少数在 GitHub 上公开发布的开源 Tomcat 项目使用此配置(大约 200 个),并且大多数都有。现在我们可以将 .session 文件(一个序列化的 Java 对象)写入根目录。提供静态资源的默认 servlet 必须处于非默认的“readonly=false”配置中。文件以启用基于文件的会话持久性,根据tomcat指出,这是实例易受攻击的必要条件。我们的该脚本的测试副本如下。2.漏洞必须依赖在服务器中的配置。
Apache Tomcat RCE漏洞复现(CVE-2025-24813
最新发布
ANGEEK181203的博客
04-14 859
例如 Content-Range: bytes 0-1000/1200 表示文件总大小是1200字节,本次上传的是前1001字节(0-1000),后续上传剩余部分(1001-1200)。使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。2. 在conf/context.xml中,开启File文件会话存储。
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
攻击者首先需要利用LFI漏洞读取这个文件,然后通过构造特定的数据包,使服务器在反序列化过程中执行恶意代码。 请注意,复现漏洞需谨慎操作,以免对生产环境造成影响。在实际环境中,防御此类漏洞的方法包括正确...
CVE-2020-9484 Tomcat Session 反序列化复现
weixin_45260839的博客
07-01 1925
CVE-2020-9484 Tomcat Session 反序列化复现
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1798
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
0day 收银台小程序系统存在前台SQL注入漏洞
ZeroDay001的博客
11-15 479
微信公众号程序,必须微信认证服务号,微信支付商家客户扫码,打开商家定义支付页面,输入金额和对应定义信息,提交微信支付,实现快速付款支持创建多个店铺,各个店铺自定义不同自定义表单。通过自定义表单实现订单自定义明细通过店铺自定义表单可以轻松建立,快捷收款、微信收银台、面对面收款、商品预约预订等扫码微信支付, 提升客户服务体验,商户快速获得精准订单数据,实现账款统计。通过打开自定义的表单页面,输入自定义的指定信息,可以实现订单收款。
图片服务器
whinsist的专栏
07-05 303
1.图片服务器源码 2.图片服务器tomcat配置(tomcat/config/web.xml)         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCE
syg6921008的博客
04-06 2276
Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。CVE-2025-24813 是一次典型的“路径+反序列化+配置缺陷”复合型漏洞,表面上源于文件路径处理缺陷,实际利用则依赖于多个错误配置的叠加效应。边界可信假设失效、中间件权限设置失误、反序列化引擎暴露等老问题,在现代系统中依旧构成致命威胁。
Goby 漏洞安全通告| Apache Tomcat 远程命令执行(CVE-2025-24813)
m0_46699477的博客
03-12 1957
Apache Tomcat 是一个开源的 Java Servlet 容器,广泛用于运行基于 Java 的 Web 应用程序。该漏洞CVE-2025-24813)允许远程攻击者通过特定的恶意请求在目标系统上执行任意命令,从而完全控制受影响的服务器。 满足以下条件,攻击者可以远程代码执行(RCE): 1. DefaultServlet 启用了写入权限(默认情况下禁用)。 2. 服务器启用了partial PUT(默认启用)。 3. Tomcat 使用了基于文件的 Session 持久化机制(非默认配置,默认为
漏洞预警 | Apache Tomcat 存在远程代码执行漏洞CVE-2025-24813
C20220511的博客
03-14 460
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;③升级到 Apache Tomcat 9.0.99 或更高版本。
Tomcat RCECVE-2025-24813)复现
Neolock的博客
03-21 1367
它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。这里需要注意Content-Range的分块值需要与Content-Length保持一致,且大于当前文件的长度。我们都知道tomcat是Java语言开发的,所以需要JAVA环境,我这里的Java环境是1.8.0_441。当文件被上传成功后,大概30s之内payload会被自动触发,随之文件会被清除。
漏洞复现】Apache Tomcat 远程代码执行 CVE-2025-24813(附CyberStrikeLab 靶场 PT-19 WriteUp)
仇辉攻防的博客
03-15 1251
漏洞复现。
漏洞复现】Apache Tomcat partial PUT文件上传反序列化漏洞复现(CVE-2025-24813
qinjilll的博客
03-26 835
❤️🔥🎉。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值