Apache软件基金会近日发布了多项安全补丁,专门修复影响Tomcat 9、10和11三个版本的三个新披露漏洞。
这些补丁主要针对CVE-2025-55752、CVE-2025-55754和CVE-2025-61795三个漏洞。其中最严重的是CVE-2025-55752,在特定配置场景下可能导致远程代码执行。

URL重写机制的安全绕过问题
CVE-2025-55752漏洞源于Tomcat URL重写功能在处理过程中存在的递归问题。安全公告明确指出:"针对bug 60013的修复引入了新的隐患——重写后的URL在解码前会被规范化处理。这使得攻击者能够通过精心构造请求URI,绕过包括/WEB-INF/和/META-INF/在内的核心目录保护机制。"
该漏洞可能被利用来突破访问控制限制,在某些配置环境下甚至允许通过HTTP PUT请求上传恶意文件,进而引发潜在的远程代码执行风险。不过Apache方面强调,在标准配置下实际威胁有限,因为"PUT请求通常仅限受信任用户使用,同时启用PUT请求和URI重写规则的可能性较低"。
受影响版本包括:
Tomcat 11.0.0-M1至11.0.10Tomcat 10.1.0-M1至10.1.44
Tomcat 9.0.0.M11至9.0.108
建议用户尽快升级至Tomcat 11.0.11、10.1.45或9.0.109版本以修复此漏洞。
控制台ANSI转义序列注入风险
CVE-2025-55754主要影响运行在支持ANSI转义序列的Windows控制台环境中的Tomcat实例。官方解释称:"Tomcat未对日志消息中的ANSI转义序列进行适当过滤。当Tomcat运行于Windows系统的控制台环境,且该控制台支持ANSI转义序列时,攻击者可能通过特制URL注入转义序列来操控控制台显示和剪贴板内容,诱使管理员执行恶意命令。"
虽然目前尚未发现直接攻击向量,但Apache警告此类渗透手法"可能在其他操作系统上实现"。受影响范围涵盖:
Tomcat 11.0.0-M1至11.0.10Tomcat 10.1.0-M1至10.1.44
Tomcat 9.0.0.40至9.0.108
建议用户升级至Tomcat 11.0.11、10.1.45或9.0.109版本。
多文件上传服务拒绝漏洞
第三个漏洞CVE-2025-61795可能导致多文件上传期间出现拒绝服务(DoS)状况。当上传过程出现错误(如超出文件大小限制)时,系统可能不会立即清理上传文件的临时副本。Apache说明:"写入本地存储的上传文件临时副本未被及时清除,而是等待垃圾回收进程处理。根据JVM设置、应用程序内存使用状况和负载情况,临时文件占用存储空间的速度可能远超垃圾回收机制的处理能力,最终导致服务不可用。"
该漏洞影响以下版本:
Tomcat 11.0.0-M1至11.0.11Tomcat 10.1.0-M1至10.1.46
Tomcat 9.0.0.M1至9.0.109
建议用户升级至Tomcat 11.0.12、10.1.47或9.0.110版本以防范此问题。
