Une faille de sécurité récemment révélée dans Apache Tomcat est activement exploitée, suite à la publication d'une déclaration publique preuve de concept (PoC) juste 30 heures après sa divulgation.
Versions d'Apache Tomcat concernées
La vulnérabilité, suivi comme CVE-2025-24813, impacte les versions suivantes:
- Apache Tomcat 11.0.0-M1 à 11.0.2
- Apache Tomcat 10.1.0-M1 à 10.1.34
- Apache Tomcat 9.0.0-M1 à 9.0.98
Comment fonctionne la vulnérabilité
Le problème provient d’une combinaison de facteurs, Y compris:
- Écritures activées pour le servlet par défaut (désactivé par défaut)
- Prise en charge du PUT partiel (activé par défaut)
- Une URL cible pour les téléchargements sensibles à la sécurité située dans un répertoire de téléchargement public
- Un attaquant ayant connaissance de noms de fichiers sensibles à la sécurité
- Téléchargement de fichiers sensibles à la sécurité via PUT partiel
Une exploitation réussie permet aux attaquants de afficher ou modifier des fichiers sensibles via des requêtes PUT. Dans certaines conditions, les attaquants peuvent également exécuter du code arbitraire.
exécution de code à distance (RCE) est possible si les conditions suivantes sont réunies:
- Écritures activées pour le servlet par défaut
- Prise en charge du PUT partiel activée
- L'application utilise Persistance de session basée sur les fichiers de Tomcat dans l'emplacement de stockage par défaut
- L'application comprend une bibliothèque vulnérable aux attaques de désérialisation
Selon Bras de mur, les attaquants exploitent la vulnérabilité en utilisant un processus en deux étapes:
- L'attaquant télécharge un fichier de session Java sérialisé via une requête PUT.
- L'attaquant déclenche désérialisation en envoyant une requête GET avec un JSESSIONID pointant vers la session malveillante.
L'attaque utilise une charge utile Java sérialisée codée en Base64 écrite dans le répertoire de stockage de session de Tomcat, qui est exécuté ultérieurement lors de la désérialisation.
Gravité et impacts potentiels
Wallarm note que la vulnérabilité est facile à exploiter et ne nécessite pas d'authentification. Le risque principal réside dans la gestion par Tomcat des requêtes PUT partielles, qui permet aux attaquants de télécharger des fichiers JSP malveillants, modifier les configurations, et les portes dérobées des plantes.
La vulnérabilité a été patché dans les versions suivantes d'Apache Tomcat:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Les utilisateurs exécutant les versions affectées doivent mettre à jour leurs instances Tomcat immédiatement pour éviter toute exploitation..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: