Una falla di sicurezza recentemente scoperta in Apache Tomcat viene sfruttata attivamente, in seguito alla pubblicazione di un documento pubblico verifica teorica (PoC) appena 30 ore dopo la sua divulgazione.
Versioni di Apache Tomcat interessate
La vulnerabilità, tracciato come CVE-2025-24813, ha un impatto sulle seguenti versioni:
- Apache Tomcat 11.0.0-M1 a 11.0.2
- Apache Tomcat 10.1.0-M1 a 10.1.34
- Apache Tomcat 9.0.0-M1 a 9.0.98
Come funziona la vulnerabilità
Il problema nasce da una combinazione di fattori, Compreso:
- Scritture abilitate per il servlet predefinito (disabilitato per impostazione predefinita)
- Supporto per PUT parziale (abilitato di default)
- Un URL di destinazione per i caricamenti sensibili alla sicurezza che si trova all'interno di una directory di caricamento pubblica
- Un aggressore che ha conoscenza di nomi di file sensibili alla sicurezza
- Caricamento di file sensibili alla sicurezza tramite PUT parziale
Uno sfruttamento riuscito consente agli aggressori di visualizzare o modificare file sensibili tramite richieste PUT. In determinate condizioni, gli aggressori possono anche eseguire codice arbitrario.
esecuzione di codice remoto (RCE) è possibile se si verificano le seguenti condizioni:
- Scritture abilitate per il servlet predefinito
- Supporto per PUT parziale abilitato
- L'applicazione utilizza Persistenza della sessione basata su file di Tomcat nella posizione di archiviazione predefinita
- L'applicazione include una libreria vulnerabile agli attacchi di deserializzazione
Secondo Braccio di muro, gli aggressori sfruttano la vulnerabilità utilizzando un processo in due fasi:
- L'attaccante carica un file di sessione Java serializzato tramite una richiesta PUT.
- L'attaccante innesca deserializzazione inviando una richiesta GET con un JSESSIONID che punta alla sessione dannosa.
L'attacco utilizza un payload Java serializzato codificato in Base64 scritto nella directory di archiviazione della sessione di Tomcat, che viene poi eseguito durante la deserializzazione.
Gravità e potenziali impatti
Wallarm sottolinea che la vulnerabilità è banale da sfruttare e non richiede autenticazione. Il rischio principale risiede nella gestione da parte di Tomcat delle richieste PUT parziali, che consente agli aggressori di caricare file JSP dannosi, modificare le configurazioni, e piantare porte sul retro.
La vulnerabilità è stata rattoppato nelle seguenti versioni di Apache Tomcat:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Gli utenti che eseguono versioni interessate devono aggiornare immediatamente le proprie istanze di Tomcat per prevenire lo sfruttamento.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: