Une faille de sécurité récemment divulguée ayant un impact sur Apache Tomcat a fait l’objet d’une exploitation active dans la nature après la publication d’une preuve de concept publique (POC) à peine 30 heures après la divulgation publique.
La vulnérabilité, suivie comme CVE-2025-24813affecte les versions ci-dessous –
- Apache Tomcat 11.0.0-M1 à 11.0.2
- Apache Tomcat 10.1.0-M1 à 10.1.34
- Apache Tomcat 9.0.0-M1 à 9.0.98
Il concerne un cas d’exécution de code distant ou de divulgation d’informations lorsque des conditions spécifiques sont remplies –
- Écritures activées pour le servlet par défaut (désactivé par défaut)
- Prise en charge du put partiel (activé par défaut)
- Une URL cible pour les téléchargements sensibles à la sécurité qui est un sous-répertoire d’une URL cible pour les téléchargements publics
- Connaissance de l’attaquant des noms des fichiers sensibles à la sécurité en cours de téléchargement
- Les fichiers sensibles à la sécurité sont également téléchargés via un put partiel
Une exploitation réussie pourrait permettre à un utilisateur malveillant d’afficher des fichiers sensibles à la sécurité ou d’injecter du contenu arbitraire dans ces fichiers au moyen d’une demande de vente.
De plus, un attaquant pourrait réaliser une exécution de code distante si toutes les conditions suivantes sont vraies –
- Écritures activées pour le servlet par défaut (désactivé par défaut)
- Prise en charge du put partiel (activé par défaut)
- L’application utilisait la persistance de la session basée sur les fichiers de Tomcat avec l’emplacement de stockage par défaut
- L’application comprenait une bibliothèque qui peut être exploitée dans une attaque de désérialisation
Dans un avis publié la semaine dernière, les responsables du projet dit La vulnérabilité a été résolue dans les versions Tomcat 9.0.99, 10.1.35 et 11.0.3.
Mais dans une tournure préoccupante, la vulnérabilité constate déjà des tentatives d’exploitation dans la nature, par Wallarm.
“Cette attaque tire parti du mécanisme de persistance de la session par défaut de Tomcat ainsi que son support pour les demandes de put partielle”, la société dit.
“L’exploit fonctionne en deux étapes: l’attaquant télécharge un fichier de session Java sérialisé via la demande de put. L’attaquant déclenche la désérialisation en faisant référence à l’ID de session malveillante dans une demande de GET.”
En termes différemment, les attaques impliquent l’envoi d’une demande de vente contenant une charge utile Java sérialisée en série de Base64 qui est écrite dans le répertoire de stockage de session de Tomcat, qui est ensuite exécuté lors de la désérialisation en envoyant une demande de GET avec le JSessionId pointant vers la session malveillante.
Wallarm a également noté que la vulnérabilité est triviale pour exploiter et ne nécessite aucune authentification. La seule condition préalable est que Tomcat utilise le stockage de session basé sur des fichiers.
“Bien que cela exploite abuse du stockage de session, le plus gros problème est une manipulation de put partielle dans Tomcat, ce qui permet de télécharger pratiquement n’importe quel fichier n’importe où”, a-t-il ajouté. “Les attaquants commenceront bientôt à déplacer leurs tactiques, à télécharger des fichiers JSP malveillants, à modifier les configurations et à planter des dérivations en dehors du stockage de session.”
Il est conseillé aux utilisateurs qui exécutent des versions affectées de Tomcat de mettre à jour leurs instances dès que possible pour atténuer les menaces potentielles.


