Apache Tomcat新漏洞允许攻击者执行远程代码

发布时间：2025-12-07 20:09:54 作者：玩站小弟

据Cyber Security News消息，安全研究人员在流行的开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞，可能允许攻击者执行远程代码并导致拒绝服务。。

据Cyber Security News消息，新漏许攻安全研究人员在流行的洞允代码开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞，可能允许攻击者执行远程代码并导致拒绝服务。执行

第一个漏洞被追踪为 CVE-2024-50379，远程影响 Apache Tomcat 11.0.0-M1 到 11.0.1、新漏许攻10.1.0-M1 到 10.1.33 和 9.0.0.M1 到 9.0.97版本。洞允代码如果默认 servlet 在不区分大小写的执行文件系统上配置了写入权限，模板下载攻击者可在并发读取和上传操作期间利用竞争条件。远程这种绕过 Tomcat 大小写敏感性检查的新漏许攻做法会导致上传的文件被视为 JSP，最终导致远程代码执行。洞允代码

第二个漏洞被追踪为 CVE-2024-54677 ，执行虽然严重性较低，远程但仍可能构成重大威胁。源码下载新漏许攻它影响相同版本的洞允代码 Apache Tomcat，可使攻击者触发拒绝服务攻击。执行该漏洞源于 Tomcat 提供的 Web 应用程序示例，其中许多示例无法限制上传的数据大小，可能会导致 OutOfMemoryError，免费模板从而导致拒绝服务。

值得注意的是，默认情况下，示例网络应用程序只能从 localhost 访问，这在一定程度上限制了潜在的攻击面。香港云服务器

目前Apache 已经发布了解决这些安全漏洞的补丁，敦促用户立即升级：

Apache Tomcat 11.0.2 或更高版本Apache Tomcat 10.1.34 或更高版本Apache Tomcat 9.0.98 或更高版本

这些漏洞的发现突显了在网络服务器环境中定期进行安全审计和及时打补丁的重要性。由于 Apache Tomcat 在企业环境中的广泛使用，因此这些漏洞的亿华云潜在影响十分巨大。

最近，Apache还披露了一个CVSS 4.0 评分高达9.5的高危漏洞，影响Apache Struts 2.0.0 到 2.3.37 、2.5.0 到 2.5.33 以及 6.0.0 到 6.3.0.2版本，攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，服务器租用这可能导致上传可用于执行远程代码执行的恶意文件。

Tag：

简析数据匿名化的方法、挑战与应用实践
大数据分析是推动现代企业组织业务发展的核心工具，然而，企业在使用相关的用户数据时，也需要严格保护用户的隐私安全。而在保护数据隐私的各类方法中，数据匿名化是一种非常有效的数据保护措施。数据匿名化的方法从
2025-12-07
美国数据中心市场接近满负荷运行
据报道，北美数据中心市场已接近饱和，这意味着寻求托管服务的企业可能无法像以前那样自由地在他们想要的数据中心获得所需的空间，或者他们可能不得不为此支付额外费用。帮助企业寻找主机托管和云服务提供商的市场研
2025-12-07
微软打造“小芯片云”架构，欲大幅降低LLM实现成本
如果英伟达和AMD正兴奋地搓搓小手，打算趁着微软在生成式AI领域大展拳脚的机会狠狠卖一波计算器材，把握OpenAI GPT大语言模型掀起的这波东风，那恐怕得好好再考虑一下了。虽然微软要搞AI是真的，O
2025-12-07
DDoS攻击：数据中心陷入十字准线
如今，数据中心面临着一系列挑战，从能够管理其所在的密集计算环境发出的热负荷的经济高效的冷却解决方案，到满足围绕其存储和处理的数据的合规性要求，这甚至没有考虑保护这些数据。毕竟，在安全方面，面临的问题不
2025-12-07
警惕：新的 RustBucket 恶意软件变种针对macOS用户
研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕，该版本具有改进的能力，可以建立持久性并避免被安全软件发现。安全实验室的研究人员在本周发表的一份报告中表示：RustBucke
2025-12-07
数据中心同步计时的关键作用
数据中心向各个位置传输信息的速度和一致性令人惊叹。数据中心的服务器每秒相互通信数百万次，处理必须精确计时的关键事务。计算机有内部时钟来跟踪时间，但这些时钟彼此之间不断漂移。如果没有建立机制来持续同步内
2025-12-07