最近老牌伺服器軟體Apache Tomcat 揭露CVE-2025-24813 漏洞，該漏洞在被公開揭露僅30 小時後就出現概念驗證(PoC)，隨後漏洞遭到駭客利用展開攻擊。漏洞主要影響Apache Tomcat 11.0.0-M1~11.0.2、10.1.0-M1~10.1.34 和9.0.0-M1~9.0.98 版，Apache Tomcat 已經發布新版本修復漏洞，但前提是使用者必須升級到新版本。

根據安全公告，該漏洞涉及在滿足特定條件時執行遠端程式碼或洩露訊息，攻擊者如果成功利用漏洞可以查看敏感檔案或透過PUT 請求向這些檔案中註入任意內容。

在極端情況下攻擊者甚至可以使用特製連結進行遠端程式碼執行，這可能會對Apache Tomcat 伺服器造成嚴重危害，例如植入Shell 進行監控或部署其他惡意腳本。

讓人擔憂的是沒想到漏洞公開短短30 個小時就出現了PoC 和攻擊，此次攻擊利用Apache Tomcat 的預設會話持久機制及其對部分PUT 請求的支援。

漏洞分成兩個步驟：攻擊者透過PUT 請求上傳序列化的Java 會話文件，攻擊者透過在GET 請求中引用惡意會話ID 來觸發反序列化，換句話說攻擊者只需要發送一個PUT 請求，其中包含Base64 編碼的序列化Java 荷載，該荷載被寫入到

這個漏洞利用起來也非常簡單因為不需要進行身份驗證，唯一的先決條件就是Tomcat 使用基於文件的會話存儲，而且攻擊者可能很快就會改變策略，通過上傳惡意JSP 文件並修改配置，在會話存儲之外植入後門。

目前Apache Tomcat 9.0.99、10.1.35 和11.0.3 版已經修復這個漏洞，如果貴公司使用Tomcat 請務必立即升級到新版本，否則待伺服器已經被植入後門再升級那就遲了。