TI - CVE-2025-24813 - Apache Tomcat - Path Equivalence Vulnerability

Beschreibung:

Am 10.03.2025 wurde durch die Apache Software Foundation die Schwachstelle CVE-2025-24813 in Apache Tomcat bekanntgegeben. Die Schwachstelle beruht auf einer fehlerhaften Umsetzung der partial PUT Funktion im Default Servlet. Dabei wird ein temporärer Dateiname auf Basis der vom Benutzer vorgegebenen Datei erstellt – wobei Pfadseparatoren durch Punkte ersetzt werden. Wird das Default Servlet mit aktivierter Schreibfunktion (standardmäßig deaktiviert) und aktivierter Unterstützung für partial PUT betrieben(standardmäßig aktiviert), können in Kombination mit weiteren spezifischen Voraussetzungen folgende Auswirkungen eintreten: - Ein Angreifer kann sicherheitsrelevante Dateien auslesen und/oder manipulieren. - Bei zusätzlichem Vorliegen von file-based Session Persistence (mit dem Standard-Speicherort) sowie der Verwendung einer deserialisierungsanfälligen Bibliothek kann es zur Remote Code Execution (RCE) kommen

Betroffene Systeme:

Apache Tomcat - betroffen von 11.0.0-M1 bis 11.0.2
Apache Tomcat - betroffen von 10.1.0-M1 bis10.1.34
Apache Tomcat - betroffen von 9.0.0.M1 bis 9.0.98

Behobene Versionen:

Apache Tomcat - Upgrade to Apache Tomcat 11.0.3 or later
Apache Tomcat - Upgrade to Apache Tomcat 10.1.35 or later
Apache Tomcat - Upgrade to Apache Tomcat 9.0.99 or later

Empfohlene Maßnahmen:

Es wird empfohlen, alle betroffenen Systeme auf die gepatchten Versionen zu aktualisieren. Falls ein direkter Update-Prozess nicht kurzfristig realisierbar sein sollte, können als Übergangsmaßnahme folgende Schritte erwogen werden: - Deaktivierung der Schreibfunktion im Default Servlet - Abschalten der Unterstützung für partial PUT - Überprüfung der Tomcat-Konfiguration, insbesondere hinsichtlich file-based Session Persistence und verwendeter Bibliotheken zur Vermeidung von Deserialisierungsangriffen

Einschätzung der Bedrohung:

Obwohl die Standardkonfiguration von Apache Tomcat den Schreibzugriff im Default Servlet deaktiviert, birgt eine abweichende Konfiguration in Kombination mit aktivierter Unterstützung für partial PUT ein erhebliches Risiko. Aufgrund der sehr hohen CVSS-Bewertung (9.8), veröffentlichter Exploit-Beispiele sowie der Tatsache, dass die betreffende CVE am 01.04.2025 von CISA in die Liste der Known Exploited Vulnerabilities aufgenommen wurde, lässt auf eine aktive Ausnutzung schließen. Die Schwachstelle wird daher als kritisch eingestuft. Insbesondere Systeme, bei denen die Schreibfunktion bewusst aktiviert wurde, sollten umgehend überprüft und gepatcht werden.

Weiterführende Informationen:

Apache Advisory: https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
PoC / Exploit: https://github.com/absholi7ly/POC-CVE-2025-24813
Detektions- und Mitigationsempfehlungen: https://www.vicarius.io/vsociety/posts/cve-2025-24813-detect-apache-tomcat-rce