网易首页 > 网易号 > 正文 申请入驻

【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露:立即更新

0
分享至

关键词

安全漏洞


Apache Tomcat 中发现了一个严重漏洞CVE-2025-24813,可能允许攻击者执行远程代码、泄露敏感信息或破坏数据。Apache 软件基金会已发布紧急安全公告,敦促受影响版本的用户立即更新。

Apache Tomcat 是一款广泛使用的开源 Web 服务器和 servlet 容器,由于其在处理部分 PUT 请求时存在缺陷,因此容易受到此漏洞

的影响。根据该通报,部分 PUT 的原始实现“根据用户提供的文件名和路径使用临时文件,并将路径分隔符替换为‘.’”。这个看似微不足道的细节在特定条件下会造成重大安全漏洞。

该咨询报告概述了两种主要的利用场景:

  • 信息泄露与腐败:

    • 如果为默认 servlet 启用了写入功能(默认情况下禁用),部分 PUT 支持处于活动状态(默认情况下启用),敏感上传的目标 URL 是公共上传 URL 的子目录,并且攻击者知道通过部分 PUT 上传的敏感文件名,他们可以“查看安全敏感文件和/或向这些文件中注入内容”。

  • 远程代码执行(RCE):

    • 如果为默认 servlet 启用了写入功能,则部分 PUT 处于活动状态,应用程序使用 Tomcat 基于文件的会话持久性和默认存储,并且应用程序包含易受反序列化攻击的库,“恶意用户能够执行远程代码执行”。

这些情况凸显了漏洞的严重性,因为它可能导致未经授权访问敏感数据并彻底破坏服务器。

CVE -2025-24813漏洞影响以下 Apache Tomcat 版本:

  • Apache Tomcat 11.0.0-M1 至 11.0.2

  • Apache Tomcat 10.1.0-M1 至 10.1.34

  • Apache Tomcat 9.0.0.M1 至 9.0.98

Apache 软件基金会强烈建议这些版本的用户采取以下缓解措施之一:

  • 升级到 Apache Tomcat 11.0.3 或更高版本。

  • 升级到 Apache Tomcat 10.1.35 或更高版本。

  • 升级到 Apache Tomcat 9.0.99 或更高版本。

数据泄露和远程代码执行的可能性使该漏洞成为重大威胁。受影响版本中默认启用部分 PUT 功能这一事实进一步放大了风险。如果不迅速修补,许多生产服务器都可能存在漏洞。

运行受影响的 Apache Tomcat 版本的服务器管理员必须立即采取措施缓解此漏洞。升级到修补版本是防范潜在攻击的最有效方法。

来源:https://securityonline.info/cve-2025-24813-flaw-in-apache-tomcat-exposes-servers-to-rce-data-leaks-update-immediately/

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

/阅读下一篇/

【安全圈】#稿定设计崩了#

返回网易首页 下载网易新闻客户端
相关推荐
热点推荐
文班品尝水席 喝茶启封满脸带笑刺记:他很享受在中国的时光

文班品尝水席 喝茶启封满脸带笑刺记:他很享受在中国的时光

直播吧
2025-06-21 14:49:45
刘强东的618发言,为何震动了中国商界?

刘强东的618发言,为何震动了中国商界?

小陆搞笑日常
2025-06-21 02:45:59
央视取消播出易建联专访

央视取消播出易建联专访

新京报
2025-06-21 13:52:44
最新进展!监视居住期间杀害19岁堂妹,陈某已被执行死刑!

最新进展!监视居住期间杀害19岁堂妹,陈某已被执行死刑!

环球网资讯
2025-06-21 15:10:05
又有领导干部喝酒死了!中纪委“加班”通报,释放出新信号

又有领导干部喝酒死了!中纪委“加班”通报,释放出新信号

王吉尼
2025-06-20 23:20:39
赵一鸣零食广东怀集店被哄抢!老板发文:千万别来怀集投资

赵一鸣零食广东怀集店被哄抢!老板发文:千万别来怀集投资

小人物看尽人间百态
2025-06-20 19:48:37
“令人窒息”!人民日报评韦东奕食堂吃饭被排队打卡:让韦东奕们好好吃口饭安心做研究

“令人窒息”!人民日报评韦东奕食堂吃饭被排队打卡:让韦东奕们好好吃口饭安心做研究

每日经济新闻
2025-06-20 18:06:40
第17波打击!伊朗使用大杀器,以色列度过艰难一夜,美英开始急了

第17波打击!伊朗使用大杀器,以色列度过艰难一夜,美英开始急了

博览历史
2025-06-21 10:08:03
塔利班当局终止与中企为期25年的石油开采合同

塔利班当局终止与中企为期25年的石油开采合同

吃瓜体
2025-06-21 09:59:16
官方已介入调查!知名商超奥乐齐超市突然被曝,不少上海人常吃:震惊!早知不买了……

官方已介入调查!知名商超奥乐齐超市突然被曝,不少上海人常吃:震惊!早知不买了……

环球网资讯
2025-06-21 08:03:18
6-1!6-1!对不起,王欣瑜,我才是夺冠第一热门

6-1!6-1!对不起,王欣瑜,我才是夺冠第一热门

体育就你秀
2025-06-21 08:39:50
当清华大学的刑法学教授怀疑自己的手机被监听后

当清华大学的刑法学教授怀疑自己的手机被监听后

邹谈
2025-06-21 10:11:39
明查|伊朗用导弹送以色列间谍“回家”?视频由AI生成

明查|伊朗用导弹送以色列间谍“回家”?视频由AI生成

澎湃新闻
2025-06-21 07:55:16
国之名医唐康来去世,年仅56岁,挂号费300元,死因令人痛心!

国之名医唐康来去世,年仅56岁,挂号费300元,死因令人痛心!

古希腊掌管松饼的神
2025-06-21 11:21:21
王中磊现身上海街头小馆,穿平价衣,吃58元拌面,吃到碗底都干净

王中磊现身上海街头小馆,穿平价衣,吃58元拌面,吃到碗底都干净

快乐的小青瓦
2025-06-21 10:31:23
司机刮落李子被讹2000后续!司机发声,树主人身份曝光,难怪嚣张

司机刮落李子被讹2000后续!司机发声,树主人身份曝光,难怪嚣张

杨哥历史
2025-06-21 10:15:27
伊朗10名核科学家“在睡觉时被杀”!是什么特殊武器?

伊朗10名核科学家“在睡觉时被杀”!是什么特殊武器?

新民晚报
2025-06-20 21:51:04
美女博主借宿伊朗单身男性家中,获热情招待,晚上:咱俩能一起睡吗?我保证不动

美女博主借宿伊朗单身男性家中,获热情招待,晚上:咱俩能一起睡吗?我保证不动

小萝卜丝
2025-06-21 11:05:37
伊朗外交部发言人:以色列袭击医务人员是“战争罪”

伊朗外交部发言人:以色列袭击医务人员是“战争罪”

澎湃新闻
2025-06-21 11:14:13
贵州一落马女干部被“双开”,通报称其搞权色交易,违规收受礼品礼金

贵州一落马女干部被“双开”,通报称其搞权色交易,违规收受礼品礼金

鲁中晨报
2025-06-20 22:01:11
2025-06-21 17:07:00
安全圈
安全圈
国内首家大安全概念新媒体
5667文章数 4686关注度
往期回顾 全部

科技要闻

Siri有救了?苹果被曝正讨论史上最大收购

头条要闻

普京:新的世界秩序如同“日出” 无法回避

头条要闻

普京:新的世界秩序如同“日出” 无法回避

体育要闻

文班品尝水席 "很享受在中国的时光"

娱乐要闻

离婚7年,杨幂逆袭碾压刘恺威

财经要闻

租金大撤退!房东正在批量跑路!

汽车要闻

扔掉"旧地图”一汽-大众大众品牌要找"新大陆"

态度原创

手机
时尚
亲子
旅游
军事航空

手机要闻

旗鱼 Sailfish OS 订阅模式被Jolla 放弃:系统更新需年付25欧元

30度高温天穿啥?叶童高圆圆的答案可以抄作业

亲子要闻

爸爸很支持你帮助同学,但是你这也太过了吧!

旅游要闻

热闻|清明假期将至,热门目的地有哪些?

军事要闻

中方发声:中东不稳天下难安 必须立即停火止战