近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache Tomcat安全漏洞(CNNVD-202503-1068、CVE-2025-24813)情況的報送。未授權(quán)的攻擊者能夠利用漏洞遠程執(zhí)行惡意代碼。Apache Tomcat多個版本均受此漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
一、漏洞介紹
Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應(yīng)用服務(wù)器,用于實現(xiàn)對Servlet和JavaServer Page(JSP)的支持。漏洞源于Apache Tomcat反序列化機制未對用戶輸入進行嚴(yán)格驗證,攻擊者可通過構(gòu)造惡意序列化對象繞過安全限制,遠程執(zhí)行惡意代碼,進而控制服務(wù)器。
二、危害影響
Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本均受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。官方參考鏈接:
https://tomcat.apache.org/security/CVE-2025-24813.html
本通報由CNNVD技術(shù)支撐單位——上海巨耕信息技術(shù)有限公司、南京賽寧信息技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、中國電信股份有限公司網(wǎng)絡(luò)安全產(chǎn)品運營中心、北京天下信安技術(shù)有限公司、北京安信天行科技有限公司、新基信息技術(shù)集團股份有限公司、廣東信網(wǎng)數(shù)安科技有限公司、北京網(wǎng)藤科技有限公司、星云博創(chuàng)科技有限公司、廣西網(wǎng)信信息技術(shù)有限公司、深圳融安網(wǎng)絡(luò)科技有限公司、上海戎磐網(wǎng)絡(luò)科技有限公司、思而聽(山東)網(wǎng)絡(luò)科技有限公司、遠江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、上海今點軟件有限公司、中電智安科技有限公司、廣州緯安科技有限公司、廣東比特豹科技有限公司、天翼數(shù)智科技(北京)有限公司、黑龍江安信與誠科技開發(fā)有限公司、杭州安恒信息技術(shù)股份有限公司、北京銳服信科技有限公司、內(nèi)蒙古旌云科技有限公司等技術(shù)支撐單位提供支持。
