江蘇
關(guān)鍵詞
安全漏洞
最近披露的一個影響 Apache Tomcat 的安全漏洞在公開披露僅 30 小時后就被公開概念驗(yàn)證 (PoC)發(fā)布,并遭到廣泛利用。
該漏洞編號為CVE-2025-24813,影響以下版本 -
Apache Tomcat 11.0.0-M1 至 11.0.2
Apache Tomcat 10.1.0-M1 至 10.1.34
Apache Tomcat 9.0.0-M1 至 9.0.98
它涉及在滿足特定條件時執(zhí)行遠(yuǎn)程代碼或泄露信息的情況 -
為默認(rèn) servlet 啟用寫入(默認(rèn)情況下禁用)
支持部分 PUT(默認(rèn)啟用)
安全敏感上傳的目標(biāo) URL,是公開上傳的目標(biāo) URL 的子目錄
攻擊者知道正在上傳的安全敏感文件的名稱
安全敏感文件也通過部分 PUT 上傳
成功利用該漏洞可能允許惡意用戶查看安全敏感文件或通過 PUT 請求向這些文件中注入任意內(nèi)容。
此外,如果以下所有條件都成立,攻擊者可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行 -
為默認(rèn) servlet 啟用寫入(默認(rèn)情況下禁用)
支持部分 PUT(默認(rèn)啟用)
應(yīng)用程序使用 Tomcat 基于文件的會話持久性和默認(rèn)存儲位置
應(yīng)用程序包含一個可能被反序列化攻擊利用的庫
在上周發(fā)布的公告中,項(xiàng)目維護(hù)人員表示該漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解決。
但令人擔(dān)憂的是,據(jù) Wallarm 稱,該漏洞已在野外遭到利用。
該公司表示:“此次攻擊利用了 Tomcat 的默認(rèn)會話持久機(jī)制及其對部分 PUT 請求的支持。”
“該漏洞分為兩個步驟:攻擊者通過 PUT 請求上傳序列化的 Java 會話文件。攻擊者通過在 GET 請求中引用惡意會話 ID 來觸發(fā)反序列化。”
換句話說,攻擊需要發(fā)送一個 PUT 請求,其中包含一個 Base64 編碼的序列化 Java 有效負(fù)載,該負(fù)載被寫入 Tomcat 的會話存儲目錄,隨后在反序列化過程中通過發(fā)送帶有指向惡意會話的 JSESSIONID 的 GET 請求來執(zhí)行。
Wallarm 還指出,該漏洞很容易利用,無需身份驗(yàn)證。唯一的先決條件是 Tomcat 使用基于文件的會話存儲。
“雖然此漏洞濫用了會話存儲,但更大的問題是 Tomcat 中的部分 PUT 處理,這允許將幾乎任何文件上傳到任何地方,”它補(bǔ)充道。“攻擊者很快就會開始改變策略,上傳惡意 JSP 文件,修改配置,并在會話存儲之外植入后門。”
建議運(yùn)行受影響版本的 Tomcat 的用戶盡快更新其實(shí)例以減輕潛在威脅。
來源:https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時資訊一手掌握!
好看你就分享 有用就點(diǎn)個贊
支持「安全圈」就點(diǎn)個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
直播吧
