游乐游手机版
首页/科技数码/文章详情

Apache与Tomcat三大安全漏洞解析:CVE-2025-55752可致远程代码执行

时间:2025-10-30 15:09
Apache软件基金会已发布多个安全补丁,修复影响Tomcat 9、10和11版本的三个新披露漏洞。 Apache软件基金会已发布多个安全补丁,修复影响Tomcat 9、10和11版本的三个新披露漏

Apache软件基金会近日发布了多项安全补丁,专门修复影响Tomcat 9、10和11三个版本的三个新披露漏洞。

这些补丁主要针对CVE-2025-55752、CVE-2025-55754和CVE-2025-61795三个漏洞。其中最严重的是CVE-2025-55752,在特定配置场景下可能导致远程代码执行。

URL重写机制的安全绕过问题

CVE-2025-55752漏洞源于Tomcat URL重写功能在处理过程中存在的递归问题。安全公告明确指出:"针对bug 60013的修复引入了新的隐患——重写后的URL在解码前会被规范化处理。这使得攻击者能够通过精心构造请求URI,绕过包括/WEB-INF/和/META-INF/在内的核心目录保护机制。"

该漏洞可能被利用来突破访问控制限制,在某些配置环境下甚至允许通过HTTP PUT请求上传恶意文件,进而引发潜在的远程代码执行风险。不过Apache方面强调,在标准配置下实际威胁有限,因为"PUT请求通常仅限受信任用户使用,同时启用PUT请求和URI重写规则的可能性较低"。

受影响版本包括:

Tomcat 11.0.0-M1至11.0.10
Tomcat 10.1.0-M1至10.1.44
Tomcat 9.0.0.M11至9.0.108

建议用户尽快升级至Tomcat 11.0.11、10.1.45或9.0.109版本以修复此漏洞。

控制台ANSI转义序列注入风险

CVE-2025-55754主要影响运行在支持ANSI转义序列的Windows控制台环境中的Tomcat实例。官方解释称:"Tomcat未对日志消息中的ANSI转义序列进行适当过滤。当Tomcat运行于Windows系统的控制台环境,且该控制台支持ANSI转义序列时,攻击者可能通过特制URL注入转义序列来操控控制台显示和剪贴板内容,诱使管理员执行恶意命令。"

虽然目前尚未发现直接攻击向量,但Apache警告此类渗透手法"可能在其他操作系统上实现"。受影响范围涵盖:

Tomcat 11.0.0-M1至11.0.10
Tomcat 10.1.0-M1至10.1.44
Tomcat 9.0.0.40至9.0.108

建议用户升级至Tomcat 11.0.11、10.1.45或9.0.109版本。

多文件上传服务拒绝漏洞

第三个漏洞CVE-2025-61795可能导致多文件上传期间出现拒绝服务(DoS)状况。当上传过程出现错误(如超出文件大小限制)时,系统可能不会立即清理上传文件的临时副本。Apache说明:"写入本地存储的上传文件临时副本未被及时清除,而是等待垃圾回收进程处理。根据JVM设置、应用程序内存使用状况和负载情况,临时文件占用存储空间的速度可能远超垃圾回收机制的处理能力,最终导致服务不可用。"

该漏洞影响以下版本:

Tomcat 11.0.0-M1至11.0.11
Tomcat 10.1.0-M1至10.1.46
Tomcat 9.0.0.M1至9.0.109

建议用户升级至Tomcat 11.0.12、10.1.47或9.0.110版本以防范此问题。

来源:https://www.51cto.com/article/828304.html
上一篇国内私有云安全厂商资源池特色解析:不只论“全面”评英雄 下一篇微软全球服务中断:Azure、365及Xbox多平台故障应对指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5