漏洞概況

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將Apache Tomcat路徑等效漏洞（編號CVE-2025-24813）列入其已知被利用漏洞（KEV）目錄。該漏洞在公開概念驗證（PoC）代碼發(fā)布僅30小時后即遭活躍利用。

技術(shù)細節(jié)

該漏洞屬于Apache Tomcat路徑等效缺陷，在滿足特定條件時可導(dǎo)致遠程代碼執(zhí)行或信息泄露。受影響版本包括：

• 11.0.0-M1至11.0.2
• 10.1.0-M1至10.1.34
• 9.0.0.M1至9.0.98

漏洞利用需同時滿足以下條件：

• 默認(rèn)Servlet啟用寫入功能（默認(rèn)禁用）
• 啟用部分PUT請求支持（默認(rèn)啟用）

存在特定文件處理條件

根據(jù)安全公告，原始實現(xiàn)中部分PUT請求會基于用戶提供的文件名和路徑創(chuàng)建臨時文件，并將路徑分隔符替換為"."。當(dāng)滿足以下全部條件時，攻擊者可查看敏感文件或注入惡意內(nèi)容：

• 安全敏感文件的上傳目標(biāo)URL是公共上傳目標(biāo)URL的子目錄
• 攻擊者知曉正在上傳的安全敏感文件名
• 安全敏感文件同樣通過部分PUT方式上傳

若同時滿足以下條件，則可實現(xiàn)遠程代碼執(zhí)行：

• 應(yīng)用程序使用Tomcat基于文件的會話持久化功能（默認(rèn)存儲位置）
• 應(yīng)用程序包含可被反序列化攻擊利用的庫

修復(fù)與利用情況

Tomcat已發(fā)布9.0.99、10.1.35和11.0版本修復(fù)該漏洞。Wallarm研究人員確認(rèn)漏洞正遭活躍利用，攻擊者僅需發(fā)送單個PUT API請求即可劫持Apache Tomcat服務(wù)器。

攻擊過程分為兩個階段：

• 上傳惡意序列化會話：攻擊者發(fā)送包含base64編碼的ysoserial工具鏈的PUT請求，將其存儲至Tomcat會話目錄
• 通過會話Cookie觸發(fā)執(zhí)行：攜帶惡意JSESSIONID的GET請求會強制Tomcat反序列化并執(zhí)行載荷

防御挑戰(zhàn)

該攻擊具有以下特征導(dǎo)致防御困難：

• 無需認(rèn)證即可執(zhí)行
• base64編碼可繞過傳統(tǒng)安全過濾器檢測

多數(shù)Web應(yīng)用防火墻（WAF）無法有效識別，因為：

• PUT請求看似正常且不含明顯惡意內(nèi)容
• 載荷采用base64編碼規(guī)避基于模式的檢測
• 攻擊分兩步執(zhí)行，實際攻擊發(fā)生在反序列化階段

應(yīng)對措施

CISA根據(jù)第22-01號約束性操作指令（BOD 22-01）要求聯(lián)邦機構(gòu)最遲于2025年4月22日前修復(fù)該漏洞。安全專家建議：

• 受影響用戶應(yīng)立即升級至修復(fù)版本
• 企業(yè)應(yīng)檢查基礎(chǔ)設(shè)施中是否存在該漏洞
• 關(guān)注多步驟攻擊的日志監(jiān)控，建立更完善的文件上傳檢測機制