攻击者正积极利用 Apache Tomcat 中的一个严重漏洞，在存在漏洞的服务器上实现远程代码执行（RCE）。

该漏洞影响 Apache Tomcat 9.0.0-M1 至 9.0.98 版本、10.1.0-M1 至 10.1.34 版本以及 11.0.0-M1 至 11.0.2 版本，且已在 9.0.99 版本、10.1.35 版本和 11.0.3 版本中得到修复。

该漏洞利用了Apache Tomcat 对部分 PUT 请求和路径等效性的处理方式，使得攻击者在特定条件下能够绕过安全限制，无需进行身份验证即可执行任意代码。

利用技术及影响

据 Insikt Group 称，利用该漏洞的过程分两步。首先，攻击者向可写入目录发送一个包含精心构造的恶意序列化 Java 有效载荷的 PUT 请求。这个有效载荷旨在在反序列化时触发远程代码执行。然后，攻击者发送一个带有精心构造的 “JSESSIONID” Cookie 的 GET 请求，导致服务器对该有效载荷进行反序列化并执行任意代码。

成功利用该漏洞需要满足特定条件，包括对默认 Servlet 的写入权限、对部分 PUT 请求的支持，以及使用带有反序列化漏洞库的基于文件的会话持久化。这些条件在默认情况下通常不会满足，从而限制了漏洞的利用范围。全球范围内已观察到攻击者的主动利用尝试，他们主要针对美国、日本、印度、韩国和墨西哥的系统。

概念验证（PoC）漏洞利用代码的迅速出现降低了利用该漏洞的门槛，使得即使是技术水平较低的攻击者也能尝试利用此漏洞。尽管存在这些尝试，但由于需要满足特定的先决条件，成功利用该漏洞仍具有挑战性。

缓解措施

为降低与 CVE-2025-24813 相关的风险，各机构应尽快将 Apache Tomcat 升级到已打补丁的版本（9.0.99、10.1.35 或 11.0.3）。对于那些无法立即进行升级的情况，实施网络层面的控制措施以限制对 Tomcat 服务器的访问，可以提供临时保护。此外，禁用不必要的 HTTP 方法并实施严格的访问控制，可进一步降低漏洞被利用的风险。为了检测和阻止恶意流量，建议持续监控威胁指标，并使用 Web 应用防火墙（WAF）。