Двухэтапная атака на Apache Tomcat позволяет захватывать серверы без пароля

leer en español

Apache Tomcat CVE-2025-24813 RCE PoC уязвимость десериализация
Двухэтапная атака на Apache Tomcat позволяет захватывать серверы без пароля
Apache Tomcat CVE-2025-24813 RCE PoC уязвимость десериализация

Массовая эксплуатация CVE-2025-24813 зафиксирована всего через 30 часов после публикации.

image

Недавно раскрытая уязвимость в Apache Tomcat подверглась активной эксплуатации всего через 30 часов после публичного раскрытия и публикации PoC-эксплойта. Уязвимость, получившая идентификатор CVE-2025-24813 , затрагивает следующие версии сервера:

  • Apache Tomcat 11.0.0-M1 — 11.0.2;
  • Apache Tomcat 10.1.0-M1 — 10.1.34;
  • Apache Tomcat 9.0.0-M1 — 9.0.98.

Ошибка связана с возможностью удалённого выполнения кода или раскрытия информации при определённых условиях. В частности, угроза возникает, если включена возможность записи для стандартного сервлета (по умолчанию отключено), разрешена поддержка частичного PUT-запроса (по умолчанию включена), а также если у атакующего есть информация о путях и названиях загружаемых файлов.

Эксплуатация данной уязвимости позволяет злоумышленнику не только просматривать конфиденциальные файлы, но и внедрять в них произвольное содержимое через запрос PUT. Более того, при определённых обстоятельствах возможно выполнение произвольного кода, если система использует файловую сессию Tomcat по умолчанию, а в приложении присутствует библиотека, уязвимая к десериализации.

Разработчики Apache Tomcat уже выпустили исправления в обновлённых версиях 9.0.99, 10.1.35 и 11.0.3. Однако эксперты компании Wallarm зафиксировали активные попытки эксплуатации уязвимости в дикой природе.

По данным исследователей, злоумышленники используют двухэтапный метод атаки: сначала загружается сериализованный файл Java-сессии через PUT-запрос, затем выполняется GET-запрос с указанием идентификатора сессии (JSESSIONID), что приводит к выполнению вредоносного кода при десериализации.

Отмечается, что эксплуатация данной уязвимости не требует аутентификации и носит крайне низкий порог входа. Единственное требование — использование Tomcat файлового хранилища сессий.

Более того, эксперты прогнозируют, что злоумышленники вскоре начнут адаптировать тактику, не ограничиваясь манипуляцией с сессиями. Возможны загрузки вредоносных JSP-файлов, модификация конфигураций и размещение бэкдоров вне области хранения сессий.

Администраторам серверов Apache Tomcat настоятельно рекомендуется как можно скорее обновить уязвимые версии для предотвращения атак.

Революция в песочнице: Превращаем PT Sandbox в идеальный инструмент безопасности

25 марта в 11:00 — эксклюзивный мастер-класс по созданию идеальных правил фильтрации в PT Sandbox. Готовые решения для максимальной производительности.

Зарегистрируйтесь сейчас и получите подробный гайд по настройке правил!

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887