Uma falha de segurança recentemente divulgada no Apache Tomcat está sendo explorada ativamente, após a divulgação de uma declaração pública prova de conceito (PoC) somente 30 horas após sua divulgação.
Versões afetadas do Apache Tomcat
a vulnerabilidade, rastreado como CVE-2025-24813, impacta as seguintes versões:
- Apache Tomcat 11.0.0-M1 para 11.0.2
- Apache Tomcat 10.1.0-M1 para 10.1.34
- Apache Tomcat 9.0.0-M1 para 9.0.98
Como funciona a vulnerabilidade
O problema decorre de uma combinação de fatores, Incluindo:
- Gravações habilitadas para o servlet padrão (desabilitado por padrão)
- Suporte para PUT parcial (ativado por padrão)
- Um URL de destino para uploads sensíveis à segurança localizados em um diretório de upload público
- Um invasor com conhecimento de nomes de arquivos sensíveis à segurança
- Carregando arquivos sensíveis à segurança via PUT parcial
A exploração bem-sucedida permite que os invasores visualizar ou modificar arquivos confidenciais via solicitações PUT. Em certas condições, os atacantes também podem executar código arbitrário.
Execução remota de código (RCE) é possível se as seguintes condições forem atendidas:
- Gravações habilitadas para o servlet padrão
- Suporte para PUT parcial ativado
- O aplicativo usa Persistência de sessão baseada em arquivo do Tomcat no local de armazenamento padrão
- O aplicativo inclui uma biblioteca vulnerável a ataques de desserialização
De acordo com Armário de parede, os invasores exploram a vulnerabilidade usando um processo de duas etapas:
- O atacante carrega um arquivo de sessão Java serializado por meio de uma solicitação PUT.
- O atacante dispara desserialização enviando uma solicitação GET com um JSESSIONID apontando para a sessão maliciosa.
O ataque usa uma carga útil Java serializada codificada em Base64 escrita no diretório de armazenamento de sessão do Tomcat, que é posteriormente executado após a desserialização.
Gravidade e Impactos Potenciais
Wallarm observa que a vulnerabilidade é trivial de explorar e não requer autenticação. O risco principal está no tratamento de solicitações PUT parciais pelo Tomcat, que permite que invasores carreguem arquivos JSP maliciosos, modificar configurações, e plantar backdoors.
A vulnerabilidade foi remendado nas seguintes versões do Apache Tomcat:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Os usuários que executam versões afetadas devem atualizar suas instâncias do Tomcat imediatamente para evitar exploração.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: