? 漏洞態(tài)勢分析

網(wǎng)絡公司最新研究報告顯示，針對Apache Tomcat和Apache Camel關鍵漏洞的網(wǎng)絡攻擊正在全球激增。2025年3月披露的這三個遠程代碼執(zhí)行（RCE, Remote Code Execution）漏洞——CVE-2025-24813（Tomcat）、CVE-2025-27636與CVE-2025-29891（Camel）——已為攻擊者提供了系統(tǒng)劫持的直接通道。

報告特別警告："成功利用這些漏洞可使攻擊者以Tomcat/Camel權限執(zhí)行任意代碼"。監(jiān)測數(shù)據(jù)顯示，僅2025年3月就記錄了來自70余個國家的125,856次掃描探測與漏洞利用嘗試。

? 技術細節(jié)剖析

Tomcat漏洞機制

當啟用部分PUT請求和會話持久化功能時，用于運行Java Web應用的Apache Tomcat（9.0.0.M1至9.0.98、10.1.0-M1至10.1.34及11.0.0-M1至11.0.2版本）存在HTTP PUT請求處理缺陷。攻擊者可借此覆蓋序列化會話文件，在反序列化時觸發(fā)惡意代碼執(zhí)行。

典型攻擊分為兩個階段：

1.載荷投遞：通過HTTP PUT請求上傳偽裝成.session文件的序列化惡意對象

2.觸發(fā)執(zhí)行：精心構造包含JSESSIONID=.[文件名]的HTTP GET請求，誘使Tomcat反序列化執(zhí)行載荷

Camel漏洞成因

該中間件框架因HTTP頭部過濾機制存在大小寫敏感缺陷，攻擊者可通過畸形頭部注入惡意命令。例如未有效攔截"CAmelExecCommandExecutable"等變體頭部，導致遠程命令執(zhí)行漏洞。

? 防御應對建議

關鍵緩解措施：

l Tomcat配置：禁用partial PUT功能并啟用readonly設置

l Camel加固：嚴格校驗和凈化HTTP頭部輸入

l 威脅監(jiān)測：使用專業(yè)工具檢測默認會話名濫用和可疑Content-Range頭部

安全團隊觀察到，大量Tomcat漏洞利用嘗試與開源工具Nuclei Scanner的模板高度相似，這意味著攻擊門檻顯著降低。目前相關補丁已發(fā)布，使用受影響組件的組織應立即更新。

本公眾號發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權均屬于原網(wǎng)站或作者本人，本公眾號對此不持立場，若有無意侵權或轉(zhuǎn)載不當之處請聯(lián)系我們處理！文章來源：https://www.freebuf.com/articles/437821.html

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明