CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-24813

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVSS 9.8v3.1pub. 2025-03-10upd. 2025-10-23

Podatność w Apache Tomcat pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) lub ujawnienie wrażliwych plików poprzez mechanizm Path Equivalence z wewnętrzną kropką w nazwie pliku. Błąd jest aktywnie wykorzystywany w atakach i otrzymał ocenę CVSS 9.8 (CRITICAL).

Pokaż oryginał (EN)

Path Equivalence: 'file.Name' (Internal Dot) leading to Remote Code Execution and/or Information disclosure and/or malicious content added to uploaded files via write enabled Default Servlet in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.2, from 10.1.0-M1 through 10.1.34, from 9.0.0.M1 through 9.0.98. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 though 8.5.100. Other, older, EOL versions may also be affected. If all of the following were true, a malicious user was able to view security sensitive files and/or inject content into those files: - writes enabled for the default servlet (disabled by default) - support for partial PUT (enabled by default) - a target URL for security sensitive uploads that was a sub-directory of a target URL for public uploads - attacker knowledge of the names of security sensitive files being uploaded - the security sensitive files also being uploaded via partial PUT If all of the following were true, a malicious user was able to perform remote code execution: - writes enabled for the default servlet (disabled by default) - support for partial PUT (enabled by default) - application was using Tomcat's file based session persistence with the default storage location - application included a library that may be leveraged in a deserialization attack Users are recommended to upgrade to version 11.0.3, 10.1.35 or 9.0.99, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi ścieżek zawierających wewnętrzną kropkę w nazwie pliku ('file.Name'), co powoduje błędne mapowanie żądań przez serwer (CWE-706, CWE-44). Gdy włączona jest obsługa zapisu dla Default Servlet oraz obsługa częściowego PUT (partial PUT), atakujący może przesłać złośliwie spreparowany plik do lokalizacji tymczasowej używanej przez mechanizm partial PUT. Jeśli aplikacja korzysta z plikowej persystencji sesji Tomcat z domyślną lokalizacją składowania i zawiera bibliotekę podatną na deserialization, serwer może odczytać i zdeserializować złośliwy plik jako obiekt sesji, co prowadzi do RCE (CWE-502). Alternatywnie, w scenariuszu bez RCE, błąd umożliwia odczyt lub nadpisanie wrażliwych plików przesyłanych przez innych użytkowników via partial PUT.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu (RCE), a w mniej uprzywilejowanym scenariuszu — odczytać wrażliwe pliki lub wstrzyknąć do nich złośliwą zawartość, co zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Apache Tomcat do wersji 11.0.3, 10.1.35 lub 9.0.99, które eliminują podatność. Jeśli natychmiastowa aktualizacja nie jest możliwa, jako doraźne obejście należy wyłączyć obsługę partial PUT lub wyłączyć zapis dla Default Servlet (parametr 'readonly=true'). Wersje z gałęzi 8.5.x są EOL i nie otrzymają patcha — zalecana jest migracja do wspieranej wersji.

Kogo dotyczy

Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.2, 10.1.0-M1 do 10.1.34, 9.0.0.M1 do 9.0.98. Wersje 8.5.0 do 8.5.100 są objęte statusem EOL i również podatne. Starsze wersje EOL mogą być również podatne. Podatność jest praktycznie eksploitowalna, gdy włączone są zapisy dla Default Servlet (domyślnie wyłączone) oraz obsługa partial PUT (domyślnie włączona).

Uwagi

Podatność wymaga spełnienia kilku warunków jednocześnie: zapis dla Default Servlet jest domyślnie WYŁĄCZONY, co ogranicza zasięg — jednak CISA potwierdziła aktywne wykorzystanie w środowiskach produkcyjnych. Wersje 8.5.x (EOL) nie otrzymają oficjalnego patcha.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    10.1.011.0.011.0.1 – 11.0.3 (bez)< 9.0.9910.1.1 – 10.1.35 (bez)
  • Debian

    OS
    Debian
    11.0
  • Netapp Bootstrap Os

    OS
    Netapp
    wszystkie wersje
  • Netapp Hci Compute Node

    HW
    Netapp
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
Tomcat
Data dodania do KEVi
1 kwietnia 2025
Termin remediation (USA)i
22 kwietnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache Tomcat zawiera lukę podatności równoważności ścieżki, która pozwala zdalnemu atakującemu na wykonanie kodu, ujawnienie informacji lub wstrzyknięcie złośliwej zawartości za pośrednictwem częściowego żądania PUT.

tłumaczenie AI
Pokaż oryginał (EN)

Apache Tomcat contains a path equivalence vulnerability that allows a remote attacker to execute code, disclose information, or inject malicious content via a partial PUT request.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 22 kwietnia 2025
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki