近日，Apache Tomcat曝出一項安全漏洞，在公開發布概念驗證（PoC）僅30小時后，該漏洞即遭到攻擊者利用。這一漏洞編號為CVE-2025-24813，主要影響以下版本：

1. Apache Tomcat 11.0.0-M1 至 11.0.2

2.?Apache Tomcat 10.1.0-M1 至 10.1.34

3.?Apache Tomcat 9.0.0-M1 至 9.0.98

漏洞詳情與利用條件

該漏洞可能導致遠程代碼執行或信息泄露，具體利用條件如下：

1. 默認Servlet的寫入功能已啟用（默認禁用）

2. 支持部分PUT請求（默認啟用）

3. 應用程序使用Tomcat基于文件的會話持久化機制，且存儲位置為默認路徑

4. 應用程序包含可能被反序列化攻擊利用的庫

漏洞詳情與利用條件

上周，項目維護人員發布公告稱，該漏洞已在Tomcat 9.0.99、10.1.35和11.0.3版本中修復。

但令人擔憂的是，據Wallarm報告，該漏洞已經遭到利用。該公司表示：“該攻擊利用了Tomcat的默認會話持久化機制及其對部分PUT請求的支持。”利用過程分為兩步：首先，攻擊者通過PUT請求上傳一個序列化的Java會話文件；然后，攻擊者通過GET請求引用惡意會話ID來觸發反序列化。

換言之，攻擊者發送一個包含Base64編碼的序列化Java有效負載的PUT請求，該負載會被寫入Tomcat的會話存儲目錄，隨后在發送帶有指向惡意會話的JSESSIONID的GET請求時被執行反序列化。

Wallarm還指出，該漏洞利用起來極其簡單，且無需身份驗證。唯一的先決條件是Tomcat使用基于文件的會話存儲。

該公司補充道：“雖然該攻擊利用了會話存儲，但更大的問題是Tomcat對部分PUT請求的處理，這允許攻擊者將幾乎任何文件上傳到任意位置。攻擊者很快就會改變策略，上傳惡意的JSP文件、修改配置并在會話存儲之外植入后門。”

建議運行受影響Tomcat版本的用戶盡快更新實例，以緩解潛在威脅。