8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全事务响应

Apache Tomcat远程号令执行缝隙来袭（CVE-2025-24813），，，，，，，，8827太阳集团提供解决规划

颁布功夫 2025-03-13

Apache Tomcat是一个开源的Java Servlet容器，，，，，，，，宽泛用于运行Java Web利用法式。。。。。它实现了Java Servlet和JavaServer Pages技术，，，，，，，，提供了一个运行环境来处置HTTP要求、天生动态网页，，，，，，，，并支持WebSocket通讯。。。。。Tomcat以其不变性、矫捷性和易用性而受到开发者的青睐，，，，，，，，是开发和部署Java Web利用的沉要工具之一。。。。。

2025年3月，，，，，，，，8827太阳集团监控到Apache官方颁布缝隙风险公告，，，，，，，，该缝隙影响启用了Partial PUT和DefaultServlet写入权限的环境，，，，，，，，可能导致攻击者绕过蹊径校验接见敏感文件或写入特定文件以执行恶意的反序列化导致代码执行。。。。。

缝隙编号	CVE-2025-24813
缝隙评估	缝隙利用难度	中
	缝隙利用前提	11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2 10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34 9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98
	缝隙类型	号令执行
	公开水平	POC未公开

缝隙复现截图

图片1.png

图片2.png

检测步骤

进入Tomcat装置目录的bin目录，，，，，，，，运行version.bat（Linux运行version.sh）后，，，，，，，，可查看当前的软件版本号。。。。。

影响版本

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34

9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98

建复建议

1. 不容partial PUT：在 conf/web.xml 中批改 allowPartialPut 参数为false，，，，，，，，沉启 Tomcat 以使配置生效。。。。。

2. 严格节造 DefaultServlet 写入权限：确保 readonly=true，，，，，，，，禁用所有未经授权的 PUT/DELETE 要求，，，，，，，，仅允许可信起源接见受限目录。。。。。

一、官方建复规划：

目前官方已颁布安全更新，，，，，，，，建议用户尽快升级至最新版本：

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99

官方补丁下载地址：

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

二、8827太阳集团规划：

1、8827太阳集团检测类产品规划

天阗入侵检测与治理系统（IDS）、天阗超融合检测探针（CSP）、天阗威胁分析一体机（TAR）、天清WEB安全利用网关（WAF）、天清入侵防御系统（IPS），，，，，，，，升级到最新版本即可有效检测或防护该缝隙造成的攻击风险。。。。。

事务库下载地址：https://venustech.download.venuscloud.cn/

2、8827太阳集团漏扫产品规划

（1）“8827太阳集团缝隙扫描系统V6.0”产品已支持对该缝隙进行扫描。。。。。

图片3.png

（2）8827太阳集团缝隙扫描系统608X系列版本已支持对该缝隙进行扫描。。。。。

图片4.png

3、8827太阳集团资产与脆弱性治理平台产品规划

8827太阳集团资产与脆弱性治理平台实时采集并更新谍报信息，，，，，，，，对入库资产Apache Tomcat远程代码执行缝隙(CVE-2025-24813)进行治理。。。。。

图片5.png

4、8827太阳集团安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，，，，，，，进行关联战术配置，，，，，，，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，，，，，，，从而发现“Apache Tomcat远程代码执行缝隙(CVE-2025-24813)”的缝隙利用攻击行为。。。。。

1）在泰合的平台中，，，，，，，，通过脆弱性发现职能针对“Apache Tomcat远程代码执行缝隙(CVE-2025-24813)”缝隙扫描工作，，，，，，，，排查治理网络中受此缝隙影响的沉要资产；；；；；；；

图片6.png

2）平台“关联分析”�？？？？？？？橹校�，，，，，增长“L2_Apache_Tomcat远程代码执行缝隙(CVE-2025-24813)”，，，，，，，，通过8827太阳集团检测设备、指标主机系统等设备的告警日志，，，，，，，，发现表部攻击行为：

图片7.png

通过度析规定自动将"L2_Apache_Tomcat远程代码执行缝隙(CVE-2025-24813)"缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，，，，，，，作为内部谍报数据使用；；；；；；；

3）增长“L3_Apache_Tomcat远程代码执行缝隙(CVE-2025-24813)”，，，，，，，，前提日志名称蹬宗或蕴含“L2_Apache_Tomcat远程代码执行缝隙(CVE-2025-24813)”，，，，，，，，攻击了局蹬宗“攻击成功”，，，，，，，，主张地址引用资产缝隙或源地址匹配威胁谍报，，，，，，，，从而提升关联规定的相信度。。。。。

图片8.png

4）ATT&CK攻击链条分析与SOAR措置建议

凭据对Apache Tomcat远程代码执行缝隙(CVE-2025-24813)的攻击利用过程进行分析，，，，，，，，攻击链涉及多个ATT&CK战术和技术阶段，，，，，，，，覆盖的TTP蕴含：

TA0001-初始接见：T1190-利用公开的利用服务

TA0008-横向移动：T1210-远程服务缝隙利用

TA0011-号令与节造：T1105-入口工具转移

TA0040-影响：T1485-数据粉碎

表1.jpg

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，，，，，，，针对该缝隙利用的告警事务编排剧本，，，，，，，，进行自动化措置。。。。。

5、8827太阳集团终端产品规划

天珣终端安全一体化（EDR）提供缝隙的专项验证查抄能力可对缝隙驻留终端进行全网同步验证，，，，，，，，匹配缝隙资产，，，，，，，，预防缝隙攻击风险。。。。。

图片9.png

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】