漏洞概況

美國網絡安全和基礎設施安全局（CISA）已將Apache Tomcat路徑等效漏洞（編號CVE-2025-24813）列入其已知被利用漏洞（KEV）目錄。該漏洞在公開概念驗證（PoC）代碼發布僅30小時后即遭活躍利用。

技術細節

該漏洞屬于Apache Tomcat路徑等效缺陷，在滿足特定條件時可導致遠程代碼執行或信息泄露。受影響版本包括：

• 11.0.0-M1至11.0.2
• 10.1.0-M1至10.1.34
• 9.0.0.M1至9.0.98

漏洞利用需同時滿足以下條件：

• 默認Servlet啟用寫入功能（默認禁用）
• 啟用部分PUT請求支持（默認啟用）

存在特定文件處理條件

根據安全公告，原始實現中部分PUT請求會基于用戶提供的文件名和路徑創建臨時文件，并將路徑分隔符替換為"."。當滿足以下全部條件時，攻擊者可查看敏感文件或注入惡意內容：

• 安全敏感文件的上傳目標URL是公共上傳目標URL的子目錄
• 攻擊者知曉正在上傳的安全敏感文件名
• 安全敏感文件同樣通過部分PUT方式上傳

若同時滿足以下條件，則可實現遠程代碼執行：

• 應用程序使用Tomcat基于文件的會話持久化功能（默認存儲位置）
• 應用程序包含可被反序列化攻擊利用的庫

修復與利用情況

Tomcat已發布9.0.99、10.1.35和11.0版本修復該漏洞。Wallarm研究人員確認漏洞正遭活躍利用，攻擊者僅需發送單個PUT API請求即可劫持Apache Tomcat服務器。

攻擊過程分為兩個階段：

• 上傳惡意序列化會話：攻擊者發送包含base64編碼的ysoserial工具鏈的PUT請求，將其存儲至Tomcat會話目錄
• 通過會話Cookie觸發執行：攜帶惡意JSESSIONID的GET請求會強制Tomcat反序列化并執行載荷

防御挑戰

該攻擊具有以下特征導致防御困難：

• 無需認證即可執行
• base64編碼可繞過傳統安全過濾器檢測

多數Web應用防火墻（WAF）無法有效識別，因為：

• PUT請求看似正常且不含明顯惡意內容
• 載荷采用base64編碼規避基于模式的檢測
• 攻擊分兩步執行，實際攻擊發生在反序列化階段

應對措施

CISA根據第22-01號約束性操作指令（BOD 22-01）要求聯邦機構最遲于2025年4月22日前修復該漏洞。安全專家建議：

• 受影響用戶應立即升級至修復版本
• 企業應檢查基礎設施中是否存在該漏洞
• 關注多步驟攻擊的日志監控，建立更完善的文件上傳檢測機制