一、漏洞详情
Apache Tomcat是一个开源的Web服务器和Servlet容器,广泛用于Web应用的部署和运行。Tomcat的RewriteValve组件是一个服务器端的URL重写引擎。
近日,监测到官方修复Apache Tomcat RewriteValve路径遍历漏洞(CVE-2025-55752),该漏洞产生于在Apache Tomcat的RewriteValve 组件中,由于URL规范化与解码操作的执行顺序存在缺陷,导致攻击者能够突破安全路径限制,直接访问受保护的敏感目录。如果同时启用了PUT请求或WebDAV功能,则攻击者可以上传恶意JSP文件并通过路径遍历执行,从而造成远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
11.0.0-M1 <= Apache Tomcat < 11.0.11
10.1.0-M1 <= Apache Tomcat < 10.0.45
9.0.0-M1 <= Apache Tomcat < 9.0.109
三、修复建议
官方已发布安全更新, 请尽快更新到安全版本:
Apache Tomcat >= 11.0.11
Apache Tomcat >= 10.0.45
Apache Tomcat >= 9.0.109
Designed by