Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器,partial PUT是其中用于文件分块上传的功能。
当应用程序启用了servlet的写入功能(默认关闭)、使用了Tomcat文件会话持久机制和默认存储位置且包含反序列化利用库时,未经身份验证的攻击者可执行任意代码获取服务器权限。
漏洞编号
CVE-2025-24813
影响范围
受影响版本:
11.0.0-M1<=Apache Tomcat<=11.0.2 10.1.0-M1<=Apache Tomcat<=10.1.34 9.0.0.M1<=Apache Tomcat<=9.0.98不受影响版本:
Apache Tomcat>=11.0.3 Apache Tomcat>=10.1.35 Apache Tomcat>=9.0.99
防范措施官方升级:
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:
https://tomcat.apache.org/download-11.cgihttps://tomcat.apache.org/download-10.cgihttps://tomcat.apache.org/download-90.cgi临时防护措施:
若相关用户暂时无法进行升级操作,也可使用下列措施进行临时缓解:
1)在不影响业务的前提下,相关用户可将conf/web.xml
文件中的readonly参数设置为true或进行注释。
2)禁用PUT方法并重启Tomcat服务使配置生效。
3)将org.apache.catalina.session.PersistentManager设置为false;若需启用文件会话持久化,可配置context.xml修改默认的会话存储位置。
