Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。

漏洞详情
近日，Apache发布安全公告，修复了Apache Tomcat远程代码执行漏洞（CVE-2025-24813），该漏洞源于不完整的PUT请求上传时的文件名处理机制逻辑问题，将文件分割符“/”转换为“.”并上传至临时目录，而默认配置的File文件会话存储也在这个目录下。当存在反序列化利用链时，可以上传恶意序列化文件至session目录，随后攻击者可以指定JSESSIONID来触发反序列化操作实现远程代码执行。
该漏洞利用条件较为复杂，需同时满足以下四个条件：
1、应用程序启用了DefaultServlet写入功能，该功能默认关闭；
2、应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启；
3、应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置；
4、应用中包含一个存在反序列化漏洞的库，比如存在于类路径下的 commons-collections，此条件取决于业务实现是否依赖存在反序列化利用链的库。

影响范围
9.0.0.M1 <= Apache Tomcat <= 9.0.98
10.1.0-M1 <= Apache Tomcat <= 10.1.34
11.0.0-M1 <= Apache Tomcat <= 11.0.2

修复建议
1、关闭互联网暴露面或设置访问权限，禁止非管理IP访问对应页面。
2、Apache官方已发布安全通告并发布了修复版本11.0.3、10.1.35、9.0.99，建议及时更新至对应安全版本。
下载地址：
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具，已更新漏洞检测规则，已支持该漏洞的在线检测。
实战化攻防技能演训平台：模拟真实攻防仿真场景，提升蓝军、红军实战应对能力训练平台。
云瞳云WAF：为中小企业提供一键化接入和专业级防护，有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。

参考链接
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq