Goby 毛病安全通告｜ Apache Tomcat 远程命令实行(CVE-2025-24813) ...

毛病名称：Apache Tomcat 远程命令实行(CVE-2025-24813)

English Name：Apache Tomcat Remote Command Execution Vulnerability (CVE-2025-24813)

CVSS core:

6.4
风险等级：

高风险
毛病形貌：

Apache Tomcat 是一个开源的 Java Servlet 容器，广泛用于运行基于 Java 的 Web 应用程序。该毛病（CVE-2025-24813）允许远程攻击者通过特定的恶意请求在目的系统上实行恣意命令，从而完全控制受影响的服务器。
满足以下条件，攻击者可以远程代码实行（RCE）：

• DefaultServlet 启用了写入权限（默认情况下禁用）。
  
• 服务器启用了partial PUT（默认启用）。
  
• Tomcat 使用了基于文件的 Session 持久化机制（非默认设置，默以为基于内存持久化），且存储位置为默认路径。
  
• 应用程序包含 可使用的反序列化毛病库（如 Commons-Collections 3.x）。
  

FOFA自检语句：

app=“APACHE-Tomcat”
受影响资产数目:

600W+
受影响版本:

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34
9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98
解决方案：

Apache 官方已发布安全通告并发布了修复版本11.0.3、10.1.35、9.0.99，请尽快下载安全版本修复毛病
毛病检测工具：

【Goby】-资产绘测及实战化毛病扫描工具，实战毛病验证效果如图所示（标准版及企业版已支持检测）：

检察Goby更多毛病：Goby历史毛病合集


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。