Уязвимост в Apache Tomcat

от

Наскоро открита уязвимост в Apache Tomcat е активно експлоатирана след оповестяване на публичен експлойт.

Уязвимостта CVE-2025-24813 засяга следните версии на Apache Tomcat:

  • Apache Tomcat 11.0.0-M1 до 11.0.2
  • Apache Tomcat 10.1.0-M1 до 10.1.34
  • Apache Tomcat 9.0.0-M1 до 9.0.98

Уязвимостта включва Remote code execution или разкриване на информация, когато са налице определени условия:

  • Writes е разрешено за default servlet (забранено по подразбиране);
  • Поддръжка на partial PUT (разрешено по подразбиране);
  • Целеви URL адрес за чувствителни към сигурността upload-ове, който е поддиректория на целеви URL адрес за публични uploads;
  • Знаниe на атакуващия за имената на качените чувствителни към сигурността файлове;
  • Чувствителните за сигурност файлове също се качват чрез partial PUT.

Успешната експлоатация на уязвимостта позволява на атакуващия да прегледа чувствителни файлове или да инжектира съдържание в тях чрез PUT заявка.

Също така е възможно осъществяване на remote code execution, когато следните условия са изпълнени:

  • Writes е разрешено за default servlet (забранено по подразбиране);
  • Поддръжка на partial PUT (разрешено по подразбиране);
  • Приложението използва файлово базирана сесия на Tomcat, използващо място за съхранение по подразбиране;
  • Приложението включва библиотека, която може да бъде използвана при Deserialization атака.

Уязвимостта е разрешена във версии на Tomcat 9.0.99, 10.1.35 и 11.0.3.

Ако използвате уязвими версии на Tomcat, CERT България Ви препоръчва да ги актуализирате до последна версия.

За повече информация: