CRITICAL✓ PATCH🇬🇧 English

CVE-2024-50379

RCE via TOCTOU Race Condition podczas kompilacji JSP w Apache Tomcat

CVSS 9.8v3.1pub. 2024-12-17upd. 2025-11-03

Podatność typu Time-of-check Time-of-use (TOCTOU) w Apache Tomcat umożliwia zdalne wykonanie kodu (RCE) na systemach plików nierozróżniających wielkości liter. Warunkiem wykorzystania jest niestandardowa konfiguracja z włączonym domyślnym serwletem obsługującym zapis.

Pokaż oryginał (EN)

Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability during JSP compilation in Apache Tomcat permits an RCE on case insensitive file systems when the default servlet is enabled for write (non-default configuration). This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.1, from 10.1.0-M1 through 10.1.33, from 9.0.0.M1 through 9.0.97. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version 11.0.2, 10.1.34 or 9.0.98, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z wyścigu (Race Condition) zachodzącego podczas kompilacji plików JSP. Atakujący może wykorzystać okno czasowe między momentem sprawdzenia pliku (time-of-check) a momentem jego użycia (time-of-use), aby podmienić lub zmanipulować plik na systemie plików nierozróżniającym wielkości liter. Skuteczny atak wymaga, aby domyślny serwlet (default servlet) był skonfigurowany z możliwością zapisu, co nie jest ustawieniem domyślnym. Poprzez sprytne operacje na plikach w tym oknie wyścigu możliwe jest doprowadzenie serwera do wykonania dostarczonego przez atakującego kodu.

Skutki

Skuteczny atak pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia danych oraz naruszenia integralności i dostępności usług.

Mitygacja

Należy zaktualizować Apache Tomcat do wersji 11.0.2, 10.1.34 lub 9.0.98, które zawierają poprawkę. Jeśli aktualizacja nie jest natychmiast możliwa, należy upewnić się, że domyślny serwlet (default servlet) nie ma włączonej obsługi zapisu (parametr readonly=true, co jest konfiguracją domyślną). Wersje 8.5.x są EOL i nie otrzymają oficjalnej poprawki — zalecana jest migracja do wspieranej gałęzi.

Kogo dotyczy

Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.1, 10.1.0-M1 do 10.1.33, 9.0.0.M1 do 9.0.97. Wersja 8.5.0 do 8.5.100 (EOL) jest również podatna. Starsze wersje EOL mogą być również podatne. Podatność dotyczy wyłącznie systemów plików nierozróżniających wielkości liter z włączonym zapisem w domyślnym serwlecie.

Uwagi

Podatność dotyczy wyłącznie niestandardowej konfiguracji (default servlet z włączonym zapisem) oraz systemów plików nierozróżniających wielkości liter (np. Windows, macOS z domyślnym HFS+). Standardowe instalacje Linux z domyślną konfiguracją nie są zagrożone.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    9.0.0 – 9.0.98 (bez)10.1.0 – 10.1.34 (bez)11.0.0 – 11.0.2 (bez)
  • Netapp Bootstrap Os

    OS
    Netapp
    wszystkie wersje
  • Netapp Hci Compute Node

    HW
    Netapp
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Race Condition
CWE
Referencje

Powiązane podatności

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2020-1938CRITICAL9.8⚠ KEVten sam produkt

When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...

CVE-2016-8735CRITICAL9.8⚠ KEVten sam produkt

Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....

CVE-2026-53434CRITICAL9.1ten sam produkt

Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...

CVE-2026-55276CRITICAL9.1ten sam produkt

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...