Eine neu aufgedeckte Sicherheitslücke in Apache Tomcat wird aktiv ausgenutzt, nach der Veröffentlichung einer öffentlichen konzeptioneller Beweiß (PoC) gerade 30 Stunden nach der Veröffentlichung.
Betroffene Apache Tomcat-Versionen
Die Sicherheitslücke, verfolgt als CVE-2025-24813, betrifft die folgenden Versionen:
- Apache Tomcat 11.0.0-M1 bis 11.0.2
- Apache Tomcat 10.1.0-M1 bis 10.1.34
- Apache Tomcat 9.0.0-M1 bis 9.0.98
Funktionsweise der Sicherheitsanfälligkeit
Das Problem ist auf eine Kombination von Faktoren zurückzuführen, Inklusive:
- Schreibvorgänge aktiviert für das Standard-Servlet (standardmäßig deaktiviert)
- Unterstützung für partielles PUT (standardmäßig aktiviert)
- Eine Ziel-URL für sicherheitsrelevante Uploads, die sich in einem öffentlichen Upload-Verzeichnis befindet
- Ein Angreifer, der Kenntnis über sicherheitsrelevante Dateinamen hat
- Hochladen sicherheitsrelevanter Dateien über teilweiser PUT
Erfolgreiche Ausnutzung ermöglicht Angreifern vertrauliche Dateien anzeigen oder ändern über PUT-Anfragen. Unter bestimmten Bedingungen, Angreifer können auch beliebigen Code ausführen.
Remotecodeausführung (RCE) ist möglich, wenn folgende Bedingungen erfüllt sind:
- Schreibvorgänge aktiviert für das Standard-Servlet
- Unterstützung für partielles PUT aktiviert
- Die Anwendung verwendet Tomcats dateibasierte Sitzungspersistenz im Standardspeicherort
- Die Anwendung enthält eine Bibliothek, die anfällig für Deserialisierungsangriffe ist
Nach Wallarm, Angreifer nutzen die Schwachstelle in einem zweistufigen Prozess aus:
- Der Angreifer lädt eine serialisierte Java-Sitzungsdatei über eine PUT-Anfrage.
- Der Angreifer löst Deserialisierung durch Senden einer GET-Anfrage mit einer JSESSIONID, die auf die bösartige Sitzung verweist.
Der Angriff nutzt eine Base64-kodierte serialisierte Java-Nutzlast, die in das Sitzungsspeicherverzeichnis von Tomcat geschrieben wird., die später bei der Deserialisierung ausgeführt wird.
Schweregrad und mögliche Auswirkungen
Wallarm weist darauf hin, dass die Schwachstelle leicht auszunutzen ist und keine Authentifizierung erfordert.. Das Hauptrisiko liegt in der Verarbeitung partieller PUT-Anfragen durch Tomcat., wodurch Angreifer schädliche JSP-Dateien hochladen können, Konfigurationen ändern, und Hintertüren pflanzen.
Die Sicherheitslücke ist bestätigt gepatcht in folgenden Apache Tomcat Versionen:
- Apache tomcat 9.0.99
- Apache tomcat 10.1.35
- Apache tomcat 11.0.3
Benutzer, die betroffene Versionen ausführen, sollten ihre Tomcat-Instanzen umgehend aktualisieren, um eine Ausnutzung zu verhindern..
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: