近日,国家信息安全漏洞库(CNNVD)收到关于Apache Tomcat安全漏洞(CNNVD-202510-3510、CVE-2025-55752)情况的报送。未授权的攻击者通过构造特殊请求可绕过防护,访问敏感目录。Apache Tomcat多个版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器,用于实现对Servlet和JavaServer Page(JSP)的支持。
漏洞源于URL重写处理不当导致,攻击者可通过构造特殊请求绕过防护,访问敏感目录,在启用了PUT请求的环境中,攻击者可进一步上传恶意文件,从而实现远程代码执行。
二、危害影响
Apache Tomcat 11.0.0-M1版本至11.0.10版本、10.1.0-M1版本至10.1.44版本、9.0.0.M11版本至9.0.108版本、8.5.6版本至8.5.100版本均受此漏洞影响。
三、修复建议
目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://tomcat.apache.org/
本通报由CNNVD技术支撑单位——内蒙古思沃科技有限公司、成都数默科技有限公司、北京墨云科技有限公司、奇安信网神信息技术(北京)股份有限公司、中国银联股份有限公司、深信服科技股份有限公司、北京云科安信科技有限公司、沈阳帆网信息技术有限公司、永信至诚科技集团股份有限公司、山西晋信安科技有限公司、重庆云立图科技有限公司、内蒙古旌云科技有限公司、内蒙古俊泰科技有限公司、泉州延陵信息技术有限公司、北京众安天下科技有限公司、湖南浪客信安科技有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
