10秒后自動關閉
Apache Tomcat最新遠程代碼執(zhí)行漏洞(CNVD-2025-04973、CVE-2025-24813)

Apache Tomcat是一個開源的Java Servlet容器,由Apache軟件基金會開發(fā)。它是運行Java Servlet、JavaServer Pages(JSP)等Web應用的流行服務器之一。Tomcat以其輕量級、高性能和易于配置的特點著稱,支持跨平臺運行,并提供了一個穩(wěn)定且可擴展的Web服務器環(huán)境。作為Java Web應用程序的開發(fā)和部署的關鍵工具,Tomcat在中小型項目到企業(yè)級部署中都有廣泛應用。


國家信息安全漏洞共享平臺于2025-03-12公布該程序存在漏洞。

漏洞編號:CNVD-2025-04973、CVE-2025-24813

影響產(chǎn)品

Apache Tomcat >=11.0.0-M1,<=11.0.2

Apache Tomcat >=10.1.0-M1,<=10.1.34

Apache Tomcat >=9.0.0.M1,<=9.0.98

漏洞級別

公布時間:2025-03-12

漏洞描述:該漏洞源于當應用程序DefaultServlet啟用寫入功能(默認情況下禁用)、使用 Tomcat默認會話持久機制和存儲位置、依賴庫存在反序列化利用鏈時所致,未授權攻擊者可利用漏洞執(zhí)行惡意代碼獲取服務器權限。


解決辦法:

廠商已發(fā)布安全更新修復漏洞,建議大家更新至最新版本:

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99

下載地址:

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html


您也可以使用《護衛(wèi)神.防入侵系統(tǒng)》,一勞永逸解決Apache Tomcat遠程代碼執(zhí)行漏洞。防護原理很簡單,通過“進程防護”限制Tomcat只允許訪問網(wǎng)站目錄和安裝目錄,這樣黑客就沒法通過Apache Tomcat執(zhí)行惡意代碼了。


一、使用進程防護,禁止Tomcat執(zhí)行惡意代碼


護衛(wèi)神.防入侵系統(tǒng)默認內(nèi)置大部分常用服務器軟件的代碼執(zhí)行漏洞防護功能(如下圖一)

常用服務器軟件的代碼執(zhí)行漏洞防護

(圖一:常用服務器軟件的代碼執(zhí)行漏洞防護)



黑客要通過Apache Tomcat執(zhí)行惡意代碼,必須具有執(zhí)行權限,而護衛(wèi)神防入侵系統(tǒng)禁止了Tomcat的執(zhí)行權限,自然就沒法執(zhí)行惡意代碼了,如下圖二

(圖二:禁止Apache Tomcat執(zhí)行惡意代碼)

(圖二:禁止Apache Tomcat執(zhí)行惡意代碼)