美国 CISA 将 Apache Tomcat 路径等效漏洞列入已知被利用漏洞目录

漏洞概况

美国网络安全和基础设施安全局（CISA）已将Apache Tomcat路径等效漏洞（编号CVE-2025-24813）列入其已知被利用漏洞（KEV）目录。美国目录该漏洞在公开概念验证（PoC）代码发布仅30小时后即遭活跃利用。将A径

技术细节

该漏洞属于Apache Tomcat路径等效缺陷，路利用漏洞在满足特定条件时可导致远程代码执行或信息泄露 。效漏受影响版本包括：

11.0.0-M1至11.0.210.1.0-M1至10.1.349.0.0.M1至9.0.98

漏洞利用需同时满足以下条件：

默认Servlet启用写入功能（默认禁用）启用部分PUT请求支持（默认启用）存在特定文件处理条件

根据安全公告 ，洞列原始实现中部分PUT请求会基于用户提供的源码下载入已文件名和路径创建临时文件
，并将路径分隔符替换为"."。知被当满足以下全部条件时
，美国目录攻击者可查看敏感文件或注入恶意内容 ：

安全敏感文件的将A径上传目标URL是亿华云公共上传目标URL的子目录攻击者知晓正在上传的安全敏感文件名安全敏感文件同样通过部分PUT方式上传

若同时满足以下条件，则可实现远程代码执行：

应用程序使用Tomcat基于文件的路利用漏洞会话持久化功能（默认存储位置）应用程序包含可被反序列化攻击利用的免费模板库修复与利用情况

Tomcat已发布9.0.99 、10.1.35和11.0版本修复该漏洞 。效漏Wallarm研究人员确认漏洞正遭活跃利用，洞列攻击者仅需发送单个PUT API请求即可劫持Apache Tomcat服务器
。入已

攻击过程分为两个阶段：

上传恶意序列化会话：攻击者发送包含base64编码的香港云服务器知被ysoserial工具链的PUT请求 ，将其存储至Tomcat会话目录通过会话Cookie触发执行：携带恶意JSESSIONID的美国目录GET请求会强制Tomcat反序列化并执行载荷防御挑战

该攻击具有以下特征导致防御困难：

无需认证即可执行base64编码可绕过传统安全过滤器检测

多数Web应用防火墙（WAF）无法有效识别 ，因为：

PUT请求看似正常且不含明显恶意内容载荷采用base64编码规避基于模式的高防服务器检测攻击分两步执行，实际攻击发生在反序列化阶段应对措施

CISA根据第22-01号约束性操作指令（BOD 22-01）要求联邦机构最迟于2025年4月22日前修复该漏洞
。安全专家建议：

受影响用户应立即升级至修复版本企业应检查基础设施中是否存在该漏洞关注多步骤攻击的日志监控，源码库建立更完善的文件上传检测机制