CVE-2025-24813：Apache Tomcat RCE 漏洞分析

CVE-2025-24813 是 Apache Tomcat 中的一个严重远程代码执行 (RCE) 漏洞，源于路径等效缺陷，允许攻击者绕过安全约束并远程执行任意代码。

CYFIRMA 的研究发现了一些活跃的漏洞利用，一些 PoC 漏洞在地下论坛上流传。攻击者利用基于 HTTP PUT 的任意文件上传、NTFS 连接漏洞利用以及恶意反序列化来获取持久性并提升权限。受影响的版本范围从 Apache Tomcat 9.0.0.M1 到 11.0.2。紧急缓解措施包括升级到已修复的版本、禁用不必要的 HTTP 方法、实施严格的访问控制、部署 WAF 以及持续监控威胁指标。

介绍

CVE-2025-24813 是 Apache Tomcat 中新发现的一个高危漏洞。Apache Tomcat 是一个广泛使用的开源 Servlet 容器和 Java 应用程序 Web 服务器。该漏洞被归类为远程代码执行 (RCE) 漏洞，攻击者可利用路径等效性问题，绕过安全限制并远程执行任意代码。鉴于 Apache Tomcat 在企业和云环境中的广泛使用，此漏洞对依赖其托管 Web 应用程序的组织构成严重风险。

该漏洞源于对 HTTP 请求的不当处理，导致未经授权的访问受限目录和敏感文件。利用此漏洞可能导致权限提升、系统入侵，以及组织基础设施内潜在的横向移动。安全研究人员观察到了活跃的利用尝试，而公开的概念验证 (PoC) 漏洞利用则增加了缓解措施的紧迫性。

关键要点和致谢

关键要点：

• 远程代码执行漏洞： CVE-2025-24813 是 Apache Tomcat 中的一个严重远程代码执行 (RCE) 漏洞，允许攻击者利用路径等效缺陷远程执行任意代码。
• **通过路径等效绕过安全：**该漏洞源于对 HTTP 请求的不当处理，使攻击者能够绕过安全限制并访问受限资源。
• **野外主动利用：**安全研究人员已经观察到利用此漏洞的真实攻击，公开的概念验证（PoC）漏洞增加了缓解措施的紧迫性。
• 对企业环境的重大威胁： Apache Tomcat 广泛应用于企业 IT 基础设施，因此对于依赖它进行 Web 应用程序的组织来说，该漏洞成为高度优先关注的问题。
• **需要立即采取缓解措施：**组织必须升级到 Apache Tomcat 的最新修补版本，禁用不必要的 HTTP 方法，实施严格的访问控制，并实施 Web 应用程序防火墙 (WAF) 以防止攻击。

致谢：
CYFIRMA 研究感谢安全研究人员、网络安全供应商和开源社区在识别、分析和缓解 CVE-2025-24813 漏洞方面所做的共同努力。他们的贡献对于提高安全意识并确保及时发布安全补丁以保护组织免受潜在攻击至关重要。

漏洞概览

**漏洞类型：**通过路径等效实现的远程代码执行（RCE&#