【安全资讯】Apache Tomcat存在远程代码执行漏洞（CVE-2025-24813）

近日，安恒信息CERT监测到Apache Tomcat存在远程代码执行漏洞（CVE-2025-24813），当Tomcat开启Put（Tomcat conf/web.xml配置文件中初始化参数readonly配置为false）、配置了session文件形式保存且目标环境存在相关可利用依赖条件的情况下攻击者可以通过上传恶意session文件实现远程代码执行。

安恒研究院卫兵实验室已复现此漏洞。

影响版本：

9.0.0.M1 <= Apache Tomcat <= 9.0.98

10.1.0-M1 <= Apache Tomcat <= 10.1.34

11.0.0-M1 <= Apache Tomcat <= 11.0.2

安全版本：

Apache Tomcat >= 9.0.99

Apache Tomcat >= 10.1.35

Apache Tomcat >= 11.0.3

官方修复方案:

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

下载链接：

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-11.html

在Tomcat程序根目录/conf/web.xml中将readonly false配置代码注释或移除（默认该配置为true，不受影响）

在Tomcat程序根目录/conf/context.xml中将session持久化保存路径设置为特定安全路径。

产品支持情况：

AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2025-24813

https://www.openwall.com/lists/oss-security/2025/03/10/5