【安全资讯】Apache Tomcat关键RCE漏洞被积极利用

概要：

近期，Apache Tomcat中发现了一处关键的远程代码执行（RCE）漏洞（CVE-2025-24813），该漏洞正在被黑客积极利用，攻击者可以通过简单的PUT请求接管服务器。这一漏洞的严重性引发了安全专家的广泛关注，尤其是在其被公开后仅30小时，相关的概念验证（PoC）代码便已在GitHub上发布。

主要内容：

根据Wallarm安全研究人员的报告，攻击者利用这一漏洞的方式是通过发送包含base64编码的Java负载的PUT请求，将恶意代码保存到Tomcat的会话存储中。随后，攻击者再发送一个GET请求，携带指向上传会话文件的JSESSIONID cookie，迫使Tomcat反序列化并执行恶意Java代码，从而完全控制服务器。此攻击不需要身份验证，且由于Tomcat默认接受部分PUT请求，导致该漏洞的利用变得更加容易。

Wallarm指出，攻击的简单性在于Tomcat使用文件存储会话的配置，这在许多部署中是常见的。更糟糕的是，base64编码使得该漏洞能够绕过大多数传统安全过滤器，增加了检测的难度。Apache已建议所有用户升级到修复该漏洞的Tomcat版本，并提供了一些缓解措施，如禁用部分PUT支持和避免在公共上传路径的子目录中存储安全敏感文件。

此外，Wallarm还警告说，这一事件不仅仅是一次利用活动，更是揭示了Tomcat在处理部分PUT请求时可能引发更多RCE漏洞的潜在风险。攻击者可能会开始改变策略，上传恶意JSP文件，修改配置，并在会话存储之外植入后门，这只是攻击的第一波。