更新時間:2025/03/24 12:22:47
發佈時間:2025/03/24 12:22:47
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1-3]
Apache Tomcat發布存在高風險遠端程式碼執行漏洞(CVE-2025-24813),因其對於接收的請求中檔案名稱處理不當,導致攻擊者在特定條件與系統設定的狀況下利用漏洞進行攻擊,成功利用時可自遠端執行任意程式碼、洩漏敏感資訊以及插入惡意內容於系統檔案等行為。
二、已揭露攻擊程式碼說明
GitHub已有相關攻擊程式碼利用說明[4]。
▶ 漏洞資訊
⌵
▶ 影響平台
⌵
影響平台-系統:
Apache Tomcat 11.0.0-M1 至 11.0.2,修補於11.0.3。
Apache Tomcat 10.1.0-M1 至 10.1.34,修補於10.1.35。
Apache Tomcat 9.0.0-M1 至 9.0.98,修補於9.0.99。
▶ 建議措施
⌵
一、官方已發布相關更新程式,建議會員參考官網資訊後依照單位內既有漏洞管理機制,評估後執行相關作業。
二、建議會員參考官方公告之漏洞利用條件,進行設定調整以及相關防護作為。
▶ 參考資訊
⌵
編號 | 網址 | 說明 |
---|---|---|
1 | https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.99 | Apache |
2 | https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.35 | Apache |
3 | https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.3 | Apache |
4 | https://github.com/absholi7ly/POC-CVE-2025-24813 | GitHub |
5 | https://nvd.nist.gov/vuln/detail/CVE-2025-24813 | NVD |
情資編號:
FISAC-200-202503-0003
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞