S’ha identificat una vulnerabilitat crítica d’execució remota de codi (RCE) en Apache Tomcat que està sent explotada activament.
Anàlisi
Identificada com a CVE-2025-24813 (CVSS 9.8) ja està sent activament explotada en atacs cibernètics, la qual cosa representa un risc important per als sistemes afectats.
La vulnerabilitat permet als atacants executar codi maliciós en els servidors vulnerables a través d’una sol·licitud HTTP PUT manipulada, sense la necessitat d’autenticació.
Esta vulnerabilitat va ser identificada i publicada inicialment en març de 2025 i ja ha sigut aprofitada activament en atacs dirigits. La publicació d’un codi d’explotació en fòrums públics ha accelerat la propagació de l’ús d’esta vulnerabilitat en la ciberdelinqüència
Recursos afectats
Esta vulnerabilitat afecta principalment les següents versions d’Apache Tomcat:
- Apache Tomcat 9.0.0-M1 a 9.0.98
- Apache Tomcat 10.1.0-M1 a 10.1.34
- Apache Tomcat 11.0.0-M1 a 11.0.2
Els servicis web, plataformes i aplicacions que depenen de Tomcat per a l’execució d’aplicacions Java estan en risc, especialment aquells que tenen configuracions que permeten la càrrega d’arxius de manera insegura a través d’HTTP PUT.
Recomanacions
- Actualitzar a les versions 9.0.99, 10.1.35 i 11.0.3 de Tomcat que solucionen esta vulnerabilitat
- Deshabilitar HTTP PUT: Si no és necessari, considere deshabilitar el mètode HTTP PUT en el servidor per a previndre l’explotació d’esta vulnerabilitat.
- Monitorar els diaris dels registres del servidor a la recerca de sol·licituds PUT sospitoses que puguen estar relacionades amb intents d’explotació.
Condicions per a una explotació exitosa
La explotación requiere múltiples configuraciones no predeterminadas para ser explotable, lo que limita significativamente su impacto en implementaciones típicas.
- Per a la divulgació d’informació o la injecció d’arxius, l’atac només és possible si es donen les condicions següents:
- Escriptures habilitades per a la miniaplicació del servidor predeterminada (deshabilitada de manera predeterminada).
- S’admeten sol·licituds PUT parcials (el suport per a PUT parcial està habilitat de manera predeterminada).
- La càrrega d’arxius confidencials es fa dins d’un directori amb permisos d’escriptura públics, és a dir, es requerix d’un URL de destinació per a càrregues sensibles a la seguretat que era un subdirectori d’un URL de destinació per a càrregues públiques.
- Coneixement de l’atacant dels noms dels arxius sensibles de seguretat que s’estan carregant
- Els arxius sensibles a la seguretat també es carreguen mitjançant PUT parcial.
- Per a l’execució remota de codi (RCE), l’explotació requerix:
- Escriptures habilitades per a la miniaplicació del servidor predeterminada (deshabilitada de manera predeterminada).
- S’admeten sol·licituds PUT parcials (el suport per a PUT parcial està habilitat de manera predeterminada).
- La persistència de sessió basada en arxius de Tomcat amb la ubicació d’emmagatzematge predeterminada.
- Una biblioteca vulnerable a la desserialització.
- Per a la divulgació d’informació o la injecció d’arxius, l’atac només és possible si es donen les condicions següents:
Poden trobar més informació sobre eixes condicions principalment en els enllaços següents:
Referències
- https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild
- https://access.redhat.com/security/cve/cve-2025-24813
- https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks
- https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html
- https://www.darkreading.com/vulnerabilities-threats/apache-tomcat-rce-vulnerability-exploit
- https://www.securityweek.com/exploit-code-for-apache-tomcat-rce-vulnerability-published-on-chinese-forum
- https://securityaffairs.com/175522/security/threat-actors-rapidly-exploit-new-apache-tomcat-flaw-following-poc-release.html
- https://www.theregister.com/2025/03/18/apache_tomcat_java_rce_flaw