{"id":1583374,"date":"2025-03-17T16:50:55","date_gmt":"2025-03-17T18:50:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-dapache-tomcat-a-activement-exploite-seulement-30-heures-apres-la-divulgation-publique\/"},"modified":"2025-03-17T16:51:00","modified_gmt":"2025-03-17T18:51:00","slug":"la-vulnerabilite-dapache-tomcat-a-activement-exploite-seulement-30-heures-apres-la-divulgation-publique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-dapache-tomcat-a-activement-exploite-seulement-30-heures-apres-la-divulgation-publique\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 d&#8217;Apache Tomcat a activement exploit\u00e9 seulement 30 heures apr\u00e8s la divulgation publique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/La-vulnerabilite-dApache-Tomcat-a-activement-exploite-seulement-30-heures.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une faille de s\u00e9curit\u00e9 r\u00e9cemment divulgu\u00e9e ayant un impact sur Apache Tomcat a fait l&#8217;objet d&#8217;une exploitation active dans la nature apr\u00e8s la publication d&#8217;une preuve de concept publique (POC) \u00e0 peine 30 heures apr\u00e8s la divulgation publique.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, suivie comme <strong><a rel=\"noopener nofollow\" href=\"https:\/\/tomcat.apache.org\/security-11.html\" target=\"_blank\">CVE-2025-24813<\/a><\/strong>affecte les versions ci-dessous &#8211;<\/p>\n<ul>\n<li>Apache Tomcat 11.0.0-M1 \u00e0 11.0.2<\/li>\n<li>Apache Tomcat 10.1.0-M1 \u00e0 10.1.34<\/li>\n<li>Apache Tomcat 9.0.0-M1 \u00e0 9.0.98<\/li>\n<\/ul>\n<p>Il concerne un cas d&#8217;ex\u00e9cution de code distant ou de divulgation d&#8217;informations lorsque des conditions sp\u00e9cifiques sont remplies &#8211;<\/p>\n<ul>\n<li>\u00c9critures activ\u00e9es pour le servlet par d\u00e9faut (d\u00e9sactiv\u00e9 par d\u00e9faut)<\/li>\n<li>Prise en charge du put partiel (activ\u00e9 par d\u00e9faut)<\/li>\n<li>Une URL cible pour les t\u00e9l\u00e9chargements sensibles \u00e0 la s\u00e9curit\u00e9 qui est un sous-r\u00e9pertoire d&#8217;une URL cible pour les t\u00e9l\u00e9chargements publics<\/li>\n<li>Connaissance de l&#8217;attaquant des noms des fichiers sensibles \u00e0 la s\u00e9curit\u00e9 en cours de t\u00e9l\u00e9chargement<\/li>\n<li>Les fichiers sensibles \u00e0 la s\u00e9curit\u00e9 sont \u00e9galement t\u00e9l\u00e9charg\u00e9s via un put partiel<\/li>\n<\/ul>\n<p>Une exploitation r\u00e9ussie pourrait permettre \u00e0 un utilisateur malveillant d&#8217;afficher des fichiers sensibles \u00e0 la s\u00e9curit\u00e9 ou d&#8217;injecter du contenu arbitraire dans ces fichiers au moyen d&#8217;une demande de vente.<\/p>\n<p>De plus, un attaquant pourrait r\u00e9aliser une ex\u00e9cution de code distante si toutes les conditions suivantes sont vraies &#8211;<\/p>\n<ul>\n<li>\u00c9critures activ\u00e9es pour le servlet par d\u00e9faut (d\u00e9sactiv\u00e9 par d\u00e9faut)<\/li>\n<li>Prise en charge du put partiel (activ\u00e9 par d\u00e9faut)<\/li>\n<li>L&#8217;application utilisait la persistance de la session bas\u00e9e sur les fichiers de Tomcat avec l&#8217;emplacement de stockage par d\u00e9faut<\/li>\n<li>L&#8217;application comprenait une biblioth\u00e8que qui peut \u00eatre exploit\u00e9e dans une attaque de d\u00e9s\u00e9rialisation<\/li>\n<\/ul>\n<p>Dans un avis publi\u00e9 la semaine derni\u00e8re, les responsables du projet <a rel=\"noopener nofollow\" href=\"https:\/\/lists.apache.org\/thread\/j5fkjv2k477os90nczf2v9l61fb0kkgq\" target=\"_blank\">dit<\/a> La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 r\u00e9solue dans les versions Tomcat 9.0.99, 10.1.35 et 11.0.3.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Mais dans une tournure pr\u00e9occupante, la vuln\u00e9rabilit\u00e9 constate d\u00e9j\u00e0 des tentatives d&#8217;exploitation dans la nature, par Wallarm.<\/p>\n<p>&#8220;Cette attaque tire parti du m\u00e9canisme de persistance de la session par d\u00e9faut de Tomcat ainsi que son support pour les demandes de put partielle&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/lab.wallarm.com\/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;L&#8217;exploit fonctionne en deux \u00e9tapes: l&#8217;attaquant t\u00e9l\u00e9charge un fichier de session Java s\u00e9rialis\u00e9 via la demande de put. L&#8217;attaquant d\u00e9clenche la d\u00e9s\u00e9rialisation en faisant r\u00e9f\u00e9rence \u00e0 l&#8217;ID de session malveillante dans une demande de GET.&#8221;<\/p>\n<p>En termes diff\u00e9remment, les attaques impliquent l&#8217;envoi d&#8217;une demande de vente contenant une charge utile Java s\u00e9rialis\u00e9e en s\u00e9rie de Base64 qui est \u00e9crite dans le r\u00e9pertoire de stockage de session de Tomcat, qui est ensuite ex\u00e9cut\u00e9 lors de la d\u00e9s\u00e9rialisation en envoyant une demande de GET avec le JSessionId pointant vers la session malveillante.<\/p>\n<p>Wallarm a \u00e9galement not\u00e9 que la vuln\u00e9rabilit\u00e9 est triviale pour exploiter et ne n\u00e9cessite aucune authentification. La seule condition pr\u00e9alable est que Tomcat utilise le stockage de session bas\u00e9 sur des fichiers.<\/p>\n<p>&#8220;Bien que cela exploite abuse du stockage de session, le plus gros probl\u00e8me est une manipulation de put partielle dans Tomcat, ce qui permet de t\u00e9l\u00e9charger pratiquement n&#8217;importe quel fichier n&#8217;importe o\u00f9&#8221;, a-t-il ajout\u00e9. &#8220;Les attaquants commenceront bient\u00f4t \u00e0 d\u00e9placer leurs tactiques, \u00e0 t\u00e9l\u00e9charger des fichiers JSP malveillants, \u00e0 modifier les configurations et \u00e0 planter des d\u00e9rivations en dehors du stockage de session.&#8221;<\/p>\n<p>Il est conseill\u00e9 aux utilisateurs qui ex\u00e9cutent des versions affect\u00e9es de Tomcat de mettre \u00e0 jour leurs instances d\u00e8s que possible pour att\u00e9nuer les menaces potentielles.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/apache-tomcat-vulnerability-comes-under.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 mars 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 Web Une faille de s\u00e9curit\u00e9 r\u00e9cemment divulgu\u00e9e ayant un impact sur Apache Tomcat a fait l&#8217;objet d&#8217;une exploitation active dans la nature apr\u00e8s la publication d&#8217;une preuve de concept publique (POC) \u00e0 peine 30 heures apr\u00e8s la divulgation publique. La vuln\u00e9rabilit\u00e9, suivie comme CVE-2025-24813affecte les versions ci-dessous &#8211; Apache [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1583375,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4807,274266,274265,271,4168,79002,274264,4161,274263,6124,54102,5347,7727,1142,274267,4160,9014,238617,246491,4172,2006,79016,178484,4166,3667,4164],"class_list":["post-1583374","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-activement","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-apres","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dapache","tag-divulgation","tag-exploite","tag-heures","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-publique","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-seulement","tag-the-hacker-news","tag-tomcat","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1583374","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1583374"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1583374\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1583375"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1583374"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1583374"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1583374"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}