Apache软件基金会已发布多个安全补丁,修复影响Tomcat 9、10和11版本的三个新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最严重的CVE-2025-55752在特定条件下可能导致远程代码执行(RCE)。
URL重写机制安全绕过
CVE-2025-55752源于Tomcat URL重写处理功能的回归问题。安全公告指出:"针对bug 60013的修复引入了新的问题——重写后的URL在解码前被规范化。这使得攻击者可能通过操纵请求URI,绕过包括/WEB-INF/和/META-INF/保护在内的安全约束。"
该漏洞可能允许攻击者绕过访问控制,在某些配置下通过HTTP PUT请求上传恶意文件,进而导致潜在的远程代码执行。但Apache强调标准配置下利用可能性较低,因为"PUT请求通常仅限于受信任用户,且不太可能同时启用PUT请求和URI操纵重写规则"。
受影响版本包括:
- Tomcat 11.0.0-M1至11.0.10
- Tomcat 10.1.0-M1至10.1.44
- Tomcat 9.0.0.M11至9.0.108
用户应升级至Tomcat 11.0.11、10.1.45或9.0.109以修复此问题。
控制台ANSI转义序列注入
CVE-2025-55754影响运行在支持ANSI转义序列的Windows控制台环境中的Tomcat实例。公告解释称:"Tomcat未对日志消息中的ANSI转义序列进行转义处理。若Tomcat运行于Windows操作系统的控制台中,且该控制台支持ANSI转义序列,攻击者可能通过特制URL注入ANSI转义序列来操纵控制台和剪贴板,诱骗管理员执行攻击者控制的命令。"
虽然未发现直接攻击向量,但Apache警告类似操纵"可能在其他操作系统上实现"。受影响版本包括:
- Tomcat 11.0.0-M1至11.0.10
- Tomcat 10.1.0-M1至10.1.44
- Tomcat 9.0.0.40至9.0.108
建议用户升级至Tomcat 11.0.11、10.1.45或9.0.109。
多文件上传拒绝服务漏洞
第三个漏洞CVE-2025-61795可能导致多文件上传期间出现拒绝服务(DoS)情况。当发生错误(如超过文件大小限制)时,上传文件的临时副本可能不会立即删除。Apache说明:"写入本地存储的上传部分临时副本未被立即清理,而是留待垃圾回收进程删除。根据JVM设置、应用程序内存使用情况和负载情况,临时副本占用的空间可能比GC清理速度更快地被填满,从而导致DoS。"
该漏洞影响:
- Tomcat 11.0.0-M1至11.0.11
- Tomcat 10.1.0-M1至10.1.46
- Tomcat 9.0.0.M1至9.0.109
建议用户升级至Tomcat 11.0.12、10.1.47或9.0.110以防范此问题。
