搜尋

情資內容

更新時間:2025/03/24 12:22:47
發佈時間:2025/03/24 12:22:47
TLP: (White)
得對外公開散布,但不得違反著作權法等相關規定

更新說明:

一、漏洞說明[1-3] Apache Tomcat發布存在高風險遠端程式碼執行漏洞(CVE-2025-24813),因其對於接收的請求中檔案名稱處理不當,導致攻擊者在特定條件與系統設定的狀況下利用漏洞進行攻擊,成功利用時可自遠端執行任意程式碼、洩漏敏感資訊以及插入惡意內容於系統檔案等行為。 二、已揭露攻擊程式碼說明 GitHub已有相關攻擊程式碼利用說明[4]。
▶ 漏洞資訊
▶ 影響平台
影響平台-系統:
Apache Tomcat 11.0.0-M1 至 11.0.2,修補於11.0.3。
Apache Tomcat 10.1.0-M1 至 10.1.34,修補於10.1.35。
Apache Tomcat 9.0.0-M1 至 9.0.98,修補於9.0.99。

▶ 建議措施
一、官方已發布相關更新程式,建議會員參考官網資訊後依照單位內既有漏洞管理機制,評估後執行相關作業。 二、建議會員參考官方公告之漏洞利用條件,進行設定調整以及相關防護作為。
▶ 參考資訊
編號 網址 說明
1 https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99 Apache
2 https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35 Apache
3 https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3 Apache
4 https://github.com/absholi7ly/POC-CVE-2025-24813 GitHub
5 https://nvd.nist.gov/vuln/detail/CVE-2025-24813 NVD
情資編號:
FISAC-200-202503-0003
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞