Wallarmは3月17日(米国時間)、「One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild - API Security」において、Javaサーブレットエンジンの「Apache Tomcat」から重大な脆弱性が発見されたと報じた。

すでに概念実証(PoC: Proof of Concept)コードが公開され、悪用されているとして注意を喚起している。

  • One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild - API Security

    One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild - API Security

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-24813 - 信用できないデータのデシリアライズおよび不適切なパス解決の脆弱性。複数の条件を満たす環境において、攻撃者はリモートコード実行(RCE: Remote Code Execution)や情報窃取、コンテンツ追加などを実行する可能性がある(CVSSスコア: 不明)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M1から11.0.2までのバージョン
  • Apache Tomcat 10.1.0-M1から10.1.34までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.98までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Apache Tomcat 11.0.3およびこれ以降のバージョン
  • Apache Tomcat 10.1.35およびこれ以降のバージョン
  • Apache Tomcat 9.0.99およびこれ以降のバージョン

影響と対策

この脆弱性は複数の条件をすべて満たすTomcatサーバに影響する。情報窃取およびコンテンツ追加の可能性がある条件は次のとおり。

  • デフォルトサーブレットの書き込みが有効(デフォルトは無効)
  • partial PUTをサポート(デフォルトは有効)
  • セキュリティ上重要なデータのアップロードURLが、パブリックアップロードURLのサブディレクトリに位置する
  • 攻撃者がアップロードされるファイル名を知っている
  • セキュリティ上重要なファイルもpartial PUTでアップロードされる

リモートコード実行(RCE)の可能性がある条件は次のとおり。

  • デフォルトサーブレットの書き込みが有効(デフォルトは無効)
  • partial PUTをサポート(デフォルトは有効)
  • アプリケーションがセッション永続化ファイルをデフォルトの場所に保存している
  • デシリアライゼーション攻撃に利用可能なライブラリがアプリケーションに含まれている

脆弱性の深刻度は公開されていないが、概念実証コードが「POC-CVE-2025-24813/README.md at main · absholi7ly/POC-CVE-2025-24813 · GitHub」にて公開され、すでに悪用が確認されており注意が必要。当該製品を運用している管理者には、影響を確認して速やかにアップデートすることが推奨されている。