Apache軟件基金會(huì)已發(fā)布多個(gè)安全補(bǔ)丁，修復(fù)影響Tomcat 9、10和11版本的三個(gè)新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最嚴(yán)重的CVE-2025-55752在特定條件下可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）。

URL重寫(xiě)機(jī)制安全繞過(guò)

CVE-2025-55752源于Tomcat URL重寫(xiě)處理功能的回歸問(wèn)題。安全公告指出："針對(duì)bug 60013的修復(fù)引入了新的問(wèn)題——重寫(xiě)后的URL在解碼前被規(guī)范化。這使得攻擊者可能通過(guò)操縱請(qǐng)求URI，繞過(guò)包括/WEB-INF/和/META-INF/保護(hù)在內(nèi)的安全約束。"

該漏洞可能允許攻擊者繞過(guò)訪問(wèn)控制，在某些配置下通過(guò)HTTP PUT請(qǐng)求上傳惡意文件，進(jìn)而導(dǎo)致潛在的遠(yuǎn)程代碼執(zhí)行。但Apache強(qiáng)調(diào)標(biāo)準(zhǔn)配置下利用可能性較低，因?yàn)?PUT請(qǐng)求通常僅限于受信任用戶(hù)，且不太可能同時(shí)啟用PUT請(qǐng)求和URI操縱重寫(xiě)規(guī)則"。

受影響版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.M11至9.0.108

用戶(hù)應(yīng)升級(jí)至Tomcat 11.0.11、10.1.45或9.0.109以修復(fù)此問(wèn)題。

控制臺(tái)ANSI轉(zhuǎn)義序列注入

CVE-2025-55754影響運(yùn)行在支持ANSI轉(zhuǎn)義序列的Windows控制臺(tái)環(huán)境中的Tomcat實(shí)例。公告解釋稱(chēng)："Tomcat未對(duì)日志消息中的ANSI轉(zhuǎn)義序列進(jìn)行轉(zhuǎn)義處理。若Tomcat運(yùn)行于Windows操作系統(tǒng)的控制臺(tái)中，且該控制臺(tái)支持ANSI轉(zhuǎn)義序列，攻擊者可能通過(guò)特制URL注入ANSI轉(zhuǎn)義序列來(lái)操縱控制臺(tái)和剪貼板，誘騙管理員執(zhí)行攻擊者控制的命令。"

雖然未發(fā)現(xiàn)直接攻擊向量，但Apache警告類(lèi)似操縱"可能在其他操作系統(tǒng)上實(shí)現(xiàn)"。受影響版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.40至9.0.108

建議用戶(hù)升級(jí)至Tomcat 11.0.11、10.1.45或9.0.109。

多文件上傳拒絕服務(wù)漏洞

第三個(gè)漏洞CVE-2025-61795可能導(dǎo)致多文件上傳期間出現(xiàn)拒絕服務(wù)（DoS）情況。當(dāng)發(fā)生錯(cuò)誤（如超過(guò)文件大小限制）時(shí)，上傳文件的臨時(shí)副本可能不會(huì)立即刪除。Apache說(shuō)明："寫(xiě)入本地存儲(chǔ)的上傳部分臨時(shí)副本未被立即清理，而是留待垃圾回收進(jìn)程刪除。根據(jù)JVM設(shè)置、應(yīng)用程序內(nèi)存使用情況和負(fù)載情況，臨時(shí)副本占用的空間可能比GC清理速度更快地被填滿，從而導(dǎo)致DoS。"

該漏洞影響：

• Tomcat 11.0.0-M1至11.0.11
• Tomcat 10.1.0-M1至10.1.46
• Tomcat 9.0.0.M1至9.0.109

建議用戶(hù)升級(jí)至Tomcat 11.0.12、10.1.47或9.0.110以防范此問(wèn)題。