2025年第4期

【预警类型】高危预警

【预警内容】关于Apache Tomcat远程代码执行漏洞安全风险通告

一、漏洞详情

近日，监测到官方修复Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)，当应用程序启用servlet写入功能（默认情况下禁用）、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时，未授权攻击者能够执行恶意代码获取服务器权限。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

      11.0.0-M1 <= Apache Tomcat <= 11.0.2

      10.1.0-M1 <= Apache Tomcat <= 10.1.34

      9.0.0.M1 <= Apache Tomcat <= 9.0.98

三、修复建议

      目前官方已发布安全更新，建议用户尽快升级至最新版本：

      Apache Tomcat >=11.0.3

      Apache Tomcat >=10.1.35

      Apache Tomcat >=9.0.99

      参考链接：

      https://tomcat.apache.org/security-11.html

      https://tomcat.apache.org/security-10.html

      https://tomcat.apache.org/security-9.html