近日接到河南省教育系统网络安全监测保障平台关于Apache Tomcat远程代码执行漏洞(CVE-2025-24813)的预警通报,Apache Tomcat 中partial PUT 用于文件分块上传的功能。使用Tomcat文件会话持久机制和默认存储位置且包含反序列化利用库时,攻击者可执行任意代码获取服务器权限。
漏洞编号:
CVE-2025-24813
影响范围:
11.0.0-M1<=Apache Tomcat<=11.0.2
10.1.0-M1<=Apache Tomcat<=10.1.34
9.0.0.M1<=Apache Tomcat<=9.0.98
修复建议
1.官方升级:
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:
https://tomcat.apache.org/download-11.cgi
https://tomcat.apache.org/download-10.cgi
https://tomcat.apache.org/download-90.cgi
2.临时防护措施:
若相关用户暂时无法进行升级操作,也可使用下列措施进行临时缓解:
1)在不影响业务的前提下,相关用户可将conf/web.xml文件中的readonly参数设置为true或进行注释。
2)禁用 PUT 方法并重启 Tomcat 服务使配置生效。
3)将 org.apache.catalina.session.PersistentManager 设置为 false;若需启用文件会话持久化,可配置 context.xml
修改默认的会话存储位置。
