Apache Tomcat是一個(gè)開源的Java Servlet容器，由Apache軟件基金會(huì)開發(fā)。它是運(yùn)行Java Servlet、JavaServer Pages（JSP）等Web應(yīng)用的流行服務(wù)器之一。Tomcat以其輕量級(jí)、高性能和易于配置的特點(diǎn)著稱，支持跨平臺(tái)運(yùn)行，并提供了一個(gè)穩(wěn)定且可擴(kuò)展的Web服務(wù)器環(huán)境。作為Java Web應(yīng)用程序的開發(fā)和部署的關(guān)鍵工具，Tomcat在中小型項(xiàng)目到企業(yè)級(jí)部署中都有廣泛應(yīng)用。

國(guó)家信息安全漏洞共享平臺(tái)于2025-03-12公布該程序存在漏洞。

漏洞編號(hào)：CNVD-2025-04973、CVE-2025-24813

影響產(chǎn)品：

Apache Tomcat >=11.0.0-M1，<=11.0.2

Apache Tomcat >=10.1.0-M1，<=10.1.34

Apache Tomcat >=9.0.0.M1，<=9.0.98

漏洞級(jí)別：高

公布時(shí)間：2025-03-12

漏洞描述：該漏洞源于當(dāng)應(yīng)用程序DefaultServlet啟用寫入功能（默認(rèn)情況下禁用）、使用 Tomcat默認(rèn)會(huì)話持久機(jī)制和存儲(chǔ)位置、依賴庫(kù)存在反序列化利用鏈時(shí)所致，未授權(quán)攻擊者可利用漏洞執(zhí)行惡意代碼獲取服務(wù)器權(quán)限。

解決辦法：

廠商已發(fā)布安全更新修復(fù)漏洞，建議大家更新至最新版本：

Apache Tomcat >=11.0.3

Apache Tomcat >=10.1.35

Apache Tomcat >=9.0.99

下載地址：

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

您也可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》，一勞永逸解決Apache Tomcat遠(yuǎn)程代碼執(zhí)行漏洞。防護(hù)原理很簡(jiǎn)單，通過“進(jìn)程防護(hù)”限制Tomcat只允許訪問網(wǎng)站目錄和安裝目錄，這樣黑客就沒法通過Apache Tomcat執(zhí)行惡意代碼了。

一、使用進(jìn)程防護(hù)，禁止Tomcat執(zhí)行惡意代碼

護(hù)衛(wèi)神.防入侵系統(tǒng)默認(rèn)內(nèi)置大部分常用服務(wù)器軟件的代碼執(zhí)行漏洞防護(hù)功能（如下圖一）

（圖一：常用服務(wù)器軟件的代碼執(zhí)行漏洞防護(hù)）

黑客要通過Apache Tomcat執(zhí)行惡意代碼，必須具有執(zhí)行權(quán)限，而護(hù)衛(wèi)神防入侵系統(tǒng)禁止了Tomcat的執(zhí)行權(quán)限，自然就沒法執(zhí)行惡意代碼了，如下圖二

（圖二：禁止Apache Tomcat執(zhí)行惡意代碼）