En nyligt afsløret sikkerhedsfejl i Apache Tomcat bliver aktivt udnyttet, efter udgivelsen af en offentlighed proof-of-concept (PoC) lige 30 timer efter offentliggørelsen.
Berørte Apache Tomcat-versioner
Sårbarheden, spores som CVE-2025-24813, påvirker følgende versioner:
- Apache Tomcat 11.0.0-M1 til 11.0.2
- Apache Tomcat 10.1.0-M1 til 10.1.34
- Apache Tomcat 9.0.0-M1 til 9.0.98
Sådan fungerer sårbarheden
Problemet stammer fra en kombination af faktorer, Herunder:
- Skriver aktiveret for standardservlet (deaktiveret som standard)
- Understøttelse af delvis PUT (aktiveret som standard)
- En mål-URL for sikkerhedsfølsomme uploads placeret i en offentlig uploadmappe
- En angriber med viden om sikkerhedsfølsomme filnavne
- Upload af sikkerhedsfølsomme filer via delvis PUT
Succesfuld udnyttelse giver angribere mulighed for se eller ændre følsomme filer via PUT-anmodninger. Under visse forhold, angribere kan også udføre vilkårlig kode.
Fjernbetjening kørsel af kode (RCE) er muligt, hvis følgende betingelser er opfyldt:
- Skriver aktiveret for standardservlet
- Understøttelse af delvis PUT aktiveret
- Applikationen bruger Tomcats fil-baserede session persistens på standardlagerpladsen
- Applikationen inkluderer et bibliotek, der er sårbart over for deserialiseringsangreb
Ifølge Wallarm, angribere udnytter sårbarheden ved hjælp af en to-trins proces:
- Angriberen uploader en serialiseret Java-sessionsfil via en PUT-anmodning.
- Angriberen udløser deserialisering ved at sende en GET-anmodning med et JSESSIONID, der peger på den ondsindede session.
Angrebet bruger en Base64-kodet serialiseret Java-nyttelast skrevet til Tomcats sessionslagringsmappe, som senere udføres ved deserialisering.
Sværhedsgrad og potentielle påvirkninger
Wallarm bemærker, at sårbarheden er triviel at udnytte og ikke kræver godkendelse. Den primære risiko ligger i Tomcats håndtering af delvise PUT-anmodninger, som tillader angribere at uploade ondsindede JSP-filer, ændre konfigurationer, og plante bagdøre.
Sårbarheden har været lappet i de følgende Apache Tomcat-versioner:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Brugere, der kører berørte versioner, bør opdatere deres Tomcat-forekomster med det samme for at forhindre udnyttelse.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: