【漏洞复现】Apache Tomcat 命令执行漏洞(CVE-2025-24813)
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Apache Tomcat 存在命令执行漏洞(CVE-2025-24813),影响多个版本。该漏洞允许攻击者通过不完整的PUT请求上传恶意文件并执行任意代码。建议更新补丁以修复该漏洞。
🎯
关键要点
- Apache Tomcat 存在命令执行漏洞(CVE-2025-24813),影响多个版本。
- 该漏洞允许攻击者通过不完整的PUT请求上传恶意文件并执行任意代码。
- 漏洞影响范围包括 Tomcat 9.0.0.M1 到 9.0.98,10.1.0-M1 到 10.1.34,11.0.0-M1 到 11.0.2。
- 漏洞的核心在于不完整PUT请求上传时的文件名处理机制,文件路径中的分隔符会被转换。
- 攻击者需满足多个条件才能利用该漏洞,包括启用写权限和部分PUT请求支持。
- 环境搭建需要下载特定版本的 Tomcat 和配置相关文件。
- 利用过程涉及构造特定的PUT请求和触发反序列化攻击。
- Apache 基金会已发布漏洞公告,建议用户更新补丁以修复该漏洞。
➡️
