安全通告
关于 Apache Tomcat 远程代码执行漏洞的预警通报
发布日期:2025-03-11
[2025]003 号
漏洞描述
2025 年 03 月 11 日监测发现 Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813),
当应用程序启用 servlet 写入功能(默认情况下禁用)、使用 Tomcat 默认会话持久机制
和存储位置、依赖库存在反序列化利用链时,未授权的攻击者能够执行恶意代码来获取服
务器权限。
Apache Tomcat 是一个开源的 Java Servlet 容器,广泛用于运行 Java Web 应用程序。它
实现了 Java Servlet 和 JavaServer Pages (JSP) 技术,提供了一个运行环境来处理 HTTP
请求、生成动态网页,并支持 WebSocket 通信。Tomcat 以其稳定性、灵活性和易用性而受
到开发者的青睐,是开发和部署 Java Web 应用的重要工具之一。
漏洞编号
CVE-2025-24813
漏洞危害
该漏洞允许攻击者通过网络远程执行任意代码。成功利用该漏洞可以使攻击者未经授权就
获得对服务器的完全控制权,从而可能导致数据泄露、系统损坏或其他恶意活动。
漏洞等级
高 危
受影响版本
11.0.0-M1 <= Apache Tomcat <= 11.0.2
10.1.0-M1 <= Apache Tomcat <= 10.1.34
9.0.0.M1 <= Apache Tomcat <= 9.0.98
修复方案
目前官方已发布安全更新,建议用户尽快升级至最新版本:
Apache Tomcat >=11.0.3
Apache Tomcat >=10.1.35
北京禹宏信安科技有限公司
北京禹宏信安科技有限公司 -2-
Apache Tomcat >=9.0.99
或按照以下操作进行临时修复:
- 若启用了 DefaultServlet,请不要将初始参数 readonly 设置为 false。
- 若启用了 Tomcat 的文件会话持久化,可通过配置 context.xml 文件,修改默认的
会话存储位置。
- 如非必要,避免将资产暴露在互联网。
参考链接
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq