长亭百川云

严重

Apache Tomcat Partial PUT远程代码执行漏洞

披露时间:
2025-03-11
更新时间:
2025-03-11
CT 编号
CT-1854171
CVE 编号
CVE-2025-24813
CNVD 编号
CNVD-2025-04973
CNNVD 编号
CNNVD-202503-1068
原理分类
逻辑漏洞
漏洞评分
9.8

漏洞描述

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本存在环境问题漏洞。攻击者利用该漏洞可以远程执行代码或泄露敏感信息。

漏洞危害

文件上传漏洞可能导致的危害包括:1)执行任意代码,攻击者可以通过上传恶意代码文件来控制服务器;2)数据泄露,攻击者可能通过上传恶意文件来获取敏感数据;3)服务中断,攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用;4)法律风险,服务器上出现恶意内容可能导致法律责任。

修复方法

将组件 tomcat 升级至 9.0.99 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 10.1.35 及以上版本
将组件 tomcat 升级至 11.0.3 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 11.0.3 及以上版本
将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 11.0.3 及以上版本
将组件 tomcat 升级至 10.1.35 及以上版本
default servlet避免修改readonly配置
将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 10.1.35 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 9.0.99 及以上版本

评分维度

长亭安全产品覆盖情况

雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统

漏洞时间线

  • 漏洞披露

    2025-03-11

  • 漏洞信息更新

    2025-03-11

关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2