大工网安告[2025008]

一、 情况分析

Apache Tomcat是一个开源的轻量级Java Web服务器和Servlet容器，专为运行Java Servlet和JSP设计的核心工具，支持动态内容处理并托管静态资源，是中小型Java Web应用开发与部署的基石。

近日，官方修复Apache Tomcat远程代码执行漏洞(CVE-2025-24813)，当应用程序启用servlet写入功能（默认情况下禁用）、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时，未授权攻击者能够执行恶意代码获取服务器权限。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：代码执行。

技术类型：反序列化错误。

利用条件：启用servlet写入功能（默认情况下禁用）

使用Tomcat默认会话持久机制和存储位置

依赖库存在 反序列化 利用链危。

危害描述：未授权攻击者能够执行恶意代码获取服务器权限。

二、 影响版本

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

三、 处置建议

修复解决方案（含漏洞补丁）：

目前官方已发布安全更新，建议用户尽快升级至最新版本：

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99

下载地址：

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.htm