近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache Tomcat安全漏洞(CNNVD-202503-1068、CVE-2025-24813)情況的報(bào)送。未授權(quán)的攻擊者能夠利用漏洞遠(yuǎn)程執(zhí)行惡意代碼。Apache Tomcat多個(gè)版本均受此漏洞影響。目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶(hù)及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。
一、漏洞介紹
Apache Tomcat是美國(guó)阿帕奇(Apache)基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器,用于實(shí)現(xiàn)對(duì)Servlet和JavaServer Page(JSP)的支持。漏洞源于Apache Tomcat反序列化機(jī)制未對(duì)用戶(hù)輸入進(jìn)行嚴(yán)格驗(yàn)證,攻擊者可通過(guò)構(gòu)造惡意序列化對(duì)象繞過(guò)安全限制,遠(yuǎn)程執(zhí)行惡意代碼,進(jìn)而控制服務(wù)器。
二、危害影響
Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本均受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已發(fā)布新版本修復(fù)了該漏洞,建議用戶(hù)及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。