Apache Tomcat 条件竞争文件上传漏洞（CVE-2024-50379）

风险通告 阿里云应急响应 2024-12-18 06:51

2024年12月，Apache 官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞

01

风险描述

Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。2024年12月，官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞。

由于 Apache Tomcat 在路径校验逻辑中存在缺陷，当在不区分大小写的系统（如Windows）上启用了default servlet 的写入功能（默认关闭）时，攻击者可构造恶意请求
绕过路径一致性检
查
，从而可能上传webshell并造成远程代码执行。漏洞利用需要条件竞争，对网络以及机器性能环境等有一定要求。

02

风险评级

CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞 高危

03

版本影响范围

Apache Tomcat 11.0.0-M1 ～ 11.0.1 

Apache Tomcat 10.1.0-M1 ～ 10.1.33 

Apache Tomcat 9.0.0.M1 ～ 9.0.97

04

安全建议

1、建议升级至安全版本及其之后。 

2、若无必要建议关闭 Default Servlet 的写入功能（设置readonly为 true）。

3、云安全中心应用漏洞支持针对 Apache Tomcat default servlet PUT 开启风险 进行检测。

05

相关链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

https://avd.aliyun.com/detail/AVD-2024-50379

https://avd.aliyun.com/detail/AVD-2024-1770267