高危
Severity and Metrics
Base Score:
—
Vector:
—
Impact Score:
—
Exploitability Score:
—
Tomcat-DefaultServlet-文件上传
EXP/POC/漏洞分析下载
发布时间:2025-03-11 11:14:47
更新时间:2025-03-11 11:14:47
应用类型:Web容器
漏洞类型:文件上传
提交时间:2025-03-11 10:41:18
发现时间:2025-03-11 00:00:00
漏洞描述
当Tomcat开启Put(Tomcat conf/web.xml配置文件中初始化参数readonly配置为false)且配置了sesion文件形式保存的情况下攻击者可上传恶意session文件并实现RCE(目标环境存在相关可利用依赖条件)
相关编号
CVE编号:CVE-2025-24813
CNNVD编号:—
CNVD编号:—
影响版本
Tomcat9:9.0.0.M1 to 9.0.98
Tomcat10:10.1.0-M1 to 10.1.34
Tomcat11:11.0.0-M1 to 11.0.2
前置条件
无
影响后果
高数据丢失
未经身份验证的利用
远程执行代码
补丁修复信息
在修复中Put文件名格式变化导致无法利用。
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-11.html
Exp漏洞截图及验证视频
游客用户没有权限查看,请
登录
Poc漏洞截图及验证视频
游客用户没有权限查看,请
登录
操作记录
2025-03-11 10:41:18
提交漏洞
2025-03-11 10:46:46
审核漏洞
2025-03-11 11:14:47
发布漏洞
安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。