【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)安全风险通告

奇安信 CERT 2024-12-18 05:00

● 
点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	Apache Tomcat 远程代码执行漏洞
漏洞编号	QVD-2024-51272,CVE-2024-50379
公开时间	2024-12-17	影响量级	十万级
奇安信评级	高危	CVSS 3.1分数	9.8
威胁类型	代码执行	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	已公开
利用条件：在Windows系统下启用PUT请求方式，并将readonly初始化参数设置为非默认值 false。
危害描述：该漏洞允许攻击者在特定条件下绕过Tomcat的大小写检查，上传恶意文件并执行远程代码，可能导致服务器被完全控制，数据泄露或服务中断。

01

漏洞详情

>
>
>
>

影响组件

Apache Tomcat是一个开源的Java Servlet容器，广泛用于运行Java Web应用程序。它实现了Java Servlet和JavaServer Pages (JSP) 技术，提供了一个运行环境来处理HTTP请求、生成动态网页，并支持WebSocket通信。Tomcat以其稳定性、灵活性和易用性而受到开发者的青睐，是开发和部署Java Web应用的重要工具之一。

>
>
>
>

漏洞描述

近日，奇安信CERT监测到官方修复Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)， 该漏洞是由于Tomcat在验证文件路径时存在缺陷，如果readonly参数被设置为false（这是一个非标准配置），并且服务器允许通过PUT方法上传文件，那么攻击者就可以上传含有恶意JSP代码的文件。通过不断地发送请求，攻击者可以利用条件竞争，使得Tomcat解析并执行这些恶意文件，从而实现远程代码执行。目前该漏洞POC已在互联网上公开，
鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

---

02

影响范围

>
>
>
>

影响版本

11.0.0-M1 <= Apache Tomcat < 11.0.2

10.1.0-M1 <= Apache Tomcat < 10.1.34

9.0.0.M1 <= Apache Tomcat < 9.0.98

>
>
>
>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)****，截图如下：

04

处置建议

>
>
>
>

安全更新

Apache 官方已发布安全通告并发布了修复版本，请尽快下载安全版本修复漏洞：

Apache Tomcat 11.0.2

Apache Tomcat 10.1.34

Apache Tomcat 9.0.98

官方下载链接：

11版本：https://tomcat.apache.org/download-11.cgi

10版本：https://tomcat.apache.org/download-10.cgi

9版本：https://tomcat.apache.org/download-90.cgi

修复缓解措施：

1. 在不影响业务的前提下将 conf/web.xml文件中的 readOnly 参数设置为 true 或直接注释该参数；

2. 禁用 PUT 方法并重启 Tomcat 服务以启用新的配置。

05

参考资料

[1]https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

[2]http://www.openwall.com/lists/oss-security/2024/12/17/4

[3]https://github.com/apache/tomcat/commit/05ddeeaa54df1e2dc427d0164bedd6b79f78d81f

[4]https://github.com/apache/tomcat/commit/43b507ebac9d268b1ea3d908e296cc6e46795c00

06

时间线

2024年12月18日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。

点击↓阅读原文，到ALPHA威胁分析平台
订阅更多漏洞信息。