Kritisk sårbarhet i Apache Tomcat
Apache rapporterar om en kritisk sårbarhet för fjärrkörning av kod (RCE) i servletmotorn Tomcat. [1]
Sårbarheten CVE-2025-24813 (ingen officiell CVSS-klassning finns i nuläget) är relativt enkel för en angripare att utnyttja, då den inte kräver någon autentisering. Det som krävs är att angriparen skickar en PUT-förfrågan till API:et om att modifiera eller ersätta ett existerande objekt eller post i bakomliggande databas, för att på så sätt kunna ta över sårbara Apache Tomcat-servrar. Det enda kravet för att sårbarheten ska kunna utnyttjas är att Tomcat använder filbaserad sessionslagring, vilket är vanligt i många installationer.
Säkerhetsforskare har varnat för att traditionella säkerhetsverktyg inte kan upptäcka sårbarheten eftersom PUT-förfrågningar verkar normala. Vidare kan base64-kodning göra det möjligt att kringgå de flesta traditionella säkerhetsfilter, vilket gör att det skadliga innehållet kan döljas. [2, 3]
Standardinstallationer ska inte vara sårbara men det är viktigt att säkerställa om sårbarheten återfinns i den egna it-miljön.
En PoC (Proof of concept) för hur sårbarheten kan utnyttjas finns tillgänglig, samt rapporter om att sårbarheten utnyttjas aktivt. [2]
Påverkade produkter
- Apache Tomcat (version 11.0.0-M1 till 11.0.2)
- Apache Tomcat (version 10.1.0-M1 till 10.1.34)
- Apache Tomcat (version 9.0.0.M1 till 9.0.98)
Rekommendationer
CERT-SE rekommenderar att snarast möjligt undersöka om er it-miljö inkluderar en sårbar Apache Tomcat. Om er installation är sårbar rekommenderar vi att patcha omgående, enligt leverantörens instruktioner.
Källor
[1] https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
[2] https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild