【复现】Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)风险通告

原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-18 12:02

• 赛博昆仑漏洞安全通告-

Tomcat DefaultServlet远程代码执行漏洞（CVE-2024-50379）风险通告

---

漏洞描述

Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能。

近日，赛博昆仑CERT监测到Tomcat DefaultServlet远程代码执行漏洞（CVE-2024-50379）的漏洞情报。当DefaultServlet 对大小写不敏感的文件系统启用了写入功能（只读初始化参数readonly设置为非默认值 false），攻击者可以通过条件竞争同时读取和上传同一文件，可能会绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。

漏洞名称	Tomcat DefaultServlet远程代码执行漏洞
漏洞公开编号	CVE-2024-50379
昆仑漏洞库编号	CYKL-2024-030781
漏洞类型	代码执行	公开时间	2024-12-17
漏洞等级	中危	评分	8.3
漏洞所需权限	无	漏洞利用难度	中
PoC状态	已公开	EXP状态	已公开
漏洞细节	未知	在野利用	未知

影响版本

9.0.0.M1 <= Apache Tomcat <= 9.0.97

10.1.0-M1 <= Apache Tomcat <= 10.1.33

11.0.0-M1 <= Apache Tomcat <= 11.0.1

漏洞利用条件
1. 需要tomcat配置中DefaultServlet的初始参数readonly为false（默认不为false）

1. 需要文件系统对大小写不敏感

漏洞复现

目前赛博昆仑CERT已确认漏洞原理，复现截图如下：

复现版本为9.0.96

防护措施
– 修复建议

目前，
官
方已发布修复建议，建议受影响的用户尽快升级至安全版本。

下载地址：https://tomcat.apache.org/download-90.cgi

• 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

联系邮箱：
[email protected]

公众号：赛博昆仑CERT

参考链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

时间线

2024年12月17日，Apache Tomcat官方公开漏洞

2024
年
12
月
18
日，赛博昆仑
CERT
公众号发布漏洞风险通告