深度简报：

周四，GreyNoise 的研究人员报告称，Apache Tomcat Web 服务器软件中的严重远程代码执行漏洞 CVE-2025-24813 正在被积极利用。这个路径等效性缺陷于 3 月 10 日首次披露，影响该开源软件的多个版本，包括 11.0.0-M1 至 11.0.2、10.1.0-M1 至 10.1.34 以及 9.0.0.M1 至 9.0.98。

网络安全初创公司 Wallarm 于 3 月 17 日首次报告了利用该漏洞的活动，此前一个用于 “极其简单” 攻击的概念验证利用代码在中国的一个论坛上发布。

一些安全研究人员和供应商指出，成功利用 Apache Tomcat 漏洞需要特定的、非默认的配置，而这种配置似乎并不常见。

深度洞察：

GreyNoise 表示，它观察到有四个不同的 IP 地址试图利用 CVE-2025-24813，但指出目前的恶意活动源于使用概念验证利用代码的 “初级攻击者”。GreyNoise Intelligence 的内容主管 Noah Stone写道：“攻击者正在利用部分 PUT 方法注入恶意有效载荷，这可能导致在易受攻击的系统上执行任意代码。”

Stone 补充说，70% 的攻击活动针对的是位于美国的 Apache Tomcat 实例，同时也有针对日本、印度、韩国和墨西哥服务器的攻击。Stone表示：“鉴于 Apache Tomcat 的广泛部署，这些早期活动迹象表明可能会有更多的利用行为随之而来。”

Cloudflare 周四也发布了一篇博客文章，详细介绍了针对 CVE-2025-24813 的攻击流量。文章称：“观察到的大多数攻击有效载荷都是漏洞探测工具，旨在帮助攻击者确定目标服务器是否易受攻击。”

然而，Cloudflare 指出，要对易受攻击的 Apache Tomcat 服务器实现远程代码执行，需要一系列 “严格” 的条件，包括对部分 PUT 请求的支持。此外，Cloudflare 表示，攻击者必须熟悉目标组织 Web 服务器的内部文件命名约定以及目标文件系统的目录结构。

Rapid7 的漏洞情报总监 Caitlin Condon 也表示，利用该漏洞有几个要求。例如，她在一篇博客文章中指出，组织必须为默认 Servlet 启用写入功能，攻击才可能成功。康登写道：“根据我们以及其他研究公司的分析，成功利用该漏洞所需的条件似乎是特定的、非默认的，且不常见。” 她还补充说，由于这些要求，广泛的利用不太可能发生。