美国网络安全与基础设施安全局（CISA）将 Apache Tomcat 漏洞纳入其已知被利用漏洞目录

美国网络安全与基础设施安全局（CISA）将一个被追踪为 CVE-2025-24813 的 Apache Tomcat 路径等效性漏洞，添加到了其已知被利用漏洞（KEV）目录中。

Apache Tomcat 漏洞 CVE-2025-24813 最近刚被披露，并且在公开 PoC 发布仅 30 小时后就已被攻击者积极利用。

该问题是 Apache Tomcat 中的一个路径等效性缺陷，若满足特定条件，可导致远程代码执行或信息泄露。该漏洞影响多个版本，包括 11.0.0-M1 至 11.0.2、10.1.0-M1 至 10.1.34 以及 9.0.0.M1 至 9.0.98。利用该漏洞需要启用可写的默认 servlet、部分 PUT 支持以及特定的文件处理条件。

公告中提到：“部分 PUT 的原始实现使用了一个基于用户提供的文件名和路径的临时文件，其中路径分隔符被替换为‘.’。”

“如果以下所有条件都成立，恶意用户就能够查看安全敏感文件和 / 或向这些文件中注入内容：

1.为默认 servlet 启用了写入功能（默认情况下是禁用的）

2.支持部分 PUT（默认情况下是启用的）

3.安全敏感文件上传的目标 URL 是公共文件上传目标 URL 的子目录

4.攻击者知道正在上传的安全敏感文件的名称

5.安全敏感文件也通过部分 PUT 进行上传

如果以下所有条件都成立，恶意用户就能够执行远程代码：

1.为默认 servlet 启用了写入功能（默认情况下是禁用的）

2.支持部分 PUT（默认情况下是启用的）

3.应用程序正在使用 Tomcat 基于文件的会话持久化功能，且使用的是默认存储位置

4.应用程序包含一个可能会在反序列化攻击中被利用的库”

Tomcat 9.0.99、10.1.35 和 11.0 版本已修复了该漏洞。

Wallarm 的研究人员证实了该漏洞正被积极利用，并补充称攻击者只需一个 PUT API 请求就能劫持 Apache Tomcat 服务器。相关概念验证已在网上公开。

Wallarm 发布的公告中写道：“一个极具破坏力的新型远程代码执行（RCE）漏洞 CVE-2025-24813 目前正在被攻击者积极利用。攻击者只需一个 PUT API 请求就能控制易受攻击的 Apache Tomcat 服务器。最初由一个论坛用户 iSee857 发布的利用方法，现已在线提供：iSee857 发布的 CVE-2025-24813 概念验证。”

这种攻击通过上传恶意的 Java 会话文件，并通过 GET 请求触发反序列化，从而利用了 Tomcat 的会话持久化和部分 PUT 请求。

该攻击涉及两个步骤：

1.上传恶意序列化会话 —— 攻击者发送一个包含 base64 编码的 ysoserial 工具链的 PUT 请求，将其存储在 Tomcat 的会话目录中。

2.通过会话 Cookie 触发执行 —— 带有引用恶意会话的 JSESSIONID 的 GET 请求会迫使 Tomcat 对负载进行反序列化并执行，从而实现远程访问。

公告总结道：“这种攻击执行起来极其简单，且无需身份验证。唯一的要求是 Tomcat 使用基于文件的会话存储，这在许多部署中很常见。更糟糕的是，base64 编码使得该攻击能够绕过大多数传统的安全过滤器，给检测带来了挑战。”

Wallarm 的研究人员警告称，大多数 Web 应用防火墙（WAF）无法检测到这种攻击，因为 PUT 请求看起来很正常，且没有明显的恶意内容。负载是经过 base64 编码的，能够逃避基于模式的检测，而且这种攻击分两个步骤进行，只有在反序列化时才会执行代码。此外，大多数 WAF 不会彻底检查上传的文件，也不会追踪多步骤的攻击。因此，当组织在日志中发现入侵时，往往已经为时过晚。

建议用户立即更新受影响的 Tomcat 版本，以减轻潜在威胁。

根据《约束性操作指令（BOD）22-01：降低已知被利用漏洞的重大风险》，美国联邦民事行政部门（FCEB）的各机构必须在截止日期前修复已识别的漏洞，以保护其网络免受利用该目录中漏洞的攻击。

专家还建议私营企业查看该目录，并修复其基础设施中的相关漏洞。

CISA 命令联邦机构在 2025 年 4 月 22 日前修复此漏洞。