凯旋国际游戏

首页 > 清静研究 > 研究报告 > 清静误差剖析

【复现】Tomcat远程代码执行（CVE-2025-24813）误差

宣布时间 2025-03-11

Apache Tomcat是着名的开源Java Servlet容器和Web效劳器，，，，，支持Java Servlet、JavaServer Pages、基于Java的Web应用程序，，，，，普遍用于企业级Web应用。。。。。

2025年3月11日，，，，，Tomcat官方宣布了一个清静通告，，，，，修复一个特定条件的远程代码执行误差（CVE-2025-24813）。。。。。该误差可导致非默认设置的Tomcat被攻击者使用，，，，，建议受影响的用户尽快修复此误差。。。。。

影响版本

version < Apache Tomcat 11.0.3

version < Apache Tomcat 10.1.35

version < Apache Tomcat 9.0.99

误差成因

该误差爆发的缘故原由是默认servlet在启用写入的情形下，，，，，攻击者可以在特定目录下写入恣意文件名的文件，，，，，连系Tomcat的session文件存储功效，，，，，可以实现反序列化RCE。。。。。该误差使用需要知足以下几个条件：

（1）默认servlet开启写入操作。。。。。

（2）使用基于文件存储的session，，，，，且存储路径默认。。。。。

（3）保存反序列化使用链的jar包。。。。。

误差复现

图片1.png

修复建议

Apache官方已宣布清静通告并宣布了修复版本，，，，，请尽快下载清静版本修复误差：

? Apache Tomcat 11.0.3 or later

? Apache Tomcat 10.1.35 or later

? Apache Tomcat 9.0.99 or later

时间线

2025年3月11日厂商宣布清静通告

2025年3月11日凯旋国际游戏ADLab复现误差

参考链接：

[1]https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

[2]https://github.com/apache/tomcat/commit/f6c01d6577cf9a1e06792be47e623d36acc3b5dc

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯旋国际游戏版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】