Apache Tomcat 遠端執行程式碼漏洞
最後更新
2025年04月07日
發佈日期:
2025年03月12日
3544
觀看次數
風險: 高度風險
類型: 伺服器 - 網站伺服器
於 Apache Tomcat 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行程式碼、敏感資料洩露和篡改。
注意:
CVE-2025-24813 正在被廣泛利用。假如DefaultServlet 啟用了寫入權限(非默認配置),及應用程序使用了Tomcat基於文件的 Session 持久化機制(非默認配置),該漏洞可能會導致遠端執行程式碼。因此,風險等級由中度風險升為高度風險。
[更新於 2025-03-18]
更新風險及描述。
[更新於 2025-04-07]
更新影響及描述。
影響
- 遠端執行程式碼
- 資料洩露
- 篡改
受影響之系統或技術
- Apache Tomcat 11.0.0-M1 至 11.0.2 版本
- Apache Tomcat 10.1.0-M1 至 10.1.34 版本
- Apache Tomcat 9.0.0.M1 至 9.0.98 版本
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99
- https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
漏洞識別碼
資料來源
相關連結
分享至