最近老牌服务器软件ApacheTomcat披露CVE-2025-24813漏洞,该漏洞在被公开披露仅30小时后就出现概念验证(PoC),随后漏洞遭到黑客利用展开攻击。该漏洞主要影响ApacheTomcat11.0.0-M1~11.0.2、10.1.0-M1~10.1.34和9.0.0-M1~9.0.98版,ApacheTomcat已经发布新版本修复漏洞,但前提是用户必须升级到新版本。
根据安全公告,该漏洞涉及在满足特定条件时执行远程代码或泄露信息,攻击者如果成功利用漏洞可以查看敏感文件或者通过PUT请求向这些文件中注入任意内容。
在极端情况下攻击者甚至可以使用特制链接进行远程代码执行,这可能会给ApacheTomcat服务器造成严重危害,例如植入Shell进行监控或部署其他恶意脚本。
让人担忧的是没想到漏洞公开短短30个小时就出现了PoC和攻击,此次攻击利用ApacheTomcat的默认会话持久机制及其对部分PUT请求的支持。
漏洞分成两个步骤:攻击者通过PUT请求上传序列化的Java会话文件,攻击者通过在GET请求中引用恶意会话ID来触发反序列化,换句话说攻击者只需要发送一个PUT请求,其中包含Base64编码的序列化Java荷载,该荷载被写入到Tomcat的会话存储目录,随后在反序列化过程中通过发送带有指向恶意会话的JSESSIONID的GET请求来执行。
这个漏洞利用起来也非常简单因为不需要进行身份验证,唯一的先决条件就是Tomcat使用基于文件的会话存储,而且攻击者可能很快就会改变策略,通过上传恶意JSP文件并修改配置,在会话存储之外植入后门。
目前ApacheTomcat9.0.99、10.1.35和11.0.3版已经修复这个漏洞,如果贵公司使用Tomcat请务必立即升级到新版本,否则待服务器已经被植入后门再升级那就迟了。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】