Apache軟件基金會已發(fā)布多個安全補(bǔ)丁，修復(fù)影響Tomcat 9、10和11版本的三個新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最嚴(yán)重的CVE-2025-55752在特定條件下可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）。

URL重寫機(jī)制安全繞過

CVE-2025-55752源于Tomcat URL重寫處理功能的回歸問題。安全公告指出："針對bug 60013的修復(fù)引入了新的問題——重寫后的URL在解碼前被規(guī)范化。這使得攻擊者可能通過操縱請求URI，繞過包括/WEB-INF/和/META-INF/保護(hù)在內(nèi)的安全約束。"

該漏洞可能允許攻擊者繞過訪問控制，在某些配置下通過HTTP PUT請求上傳惡意文件，進(jìn)而導(dǎo)致潛在的遠(yuǎn)程代碼執(zhí)行。但Apache強(qiáng)調(diào)標(biāo)準(zhǔn)配置下利用可能性較低，因?yàn)?PUT請求通常僅限于受信任用戶，且不太可能同時啟用PUT請求和URI操縱重寫規(guī)則"。

受影響版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.M11至9.0.108

用戶應(yīng)升級至Tomcat 11.0.11、10.1.45或9.0.109以修復(fù)此問題。

控制臺ANSI轉(zhuǎn)義序列注入

CVE-2025-55754影響運(yùn)行在支持ANSI轉(zhuǎn)義序列的Windows控制臺環(huán)境中的Tomcat實(shí)例。公告解釋稱："Tomcat未對日志消息中的ANSI轉(zhuǎn)義序列進(jìn)行轉(zhuǎn)義處理。若Tomcat運(yùn)行于Windows操作系統(tǒng)的控制臺中，且該控制臺支持ANSI轉(zhuǎn)義序列，攻擊者可能通過特制URL注入ANSI轉(zhuǎn)義序列來操縱控制臺和剪貼板，誘騙管理員執(zhí)行攻擊者控制的命令。"

雖然未發(fā)現(xiàn)直接攻擊向量，但Apache警告類似操縱"可能在其他操作系統(tǒng)上實(shí)現(xiàn)"。受影響版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.40至9.0.108

建議用戶升級至Tomcat 11.0.11、10.1.45或9.0.109。

多文件上傳拒絕服務(wù)漏洞

第三個漏洞CVE-2025-61795可能導(dǎo)致多文件上傳期間出現(xiàn)拒絕服務(wù)（DoS）情況。當(dāng)發(fā)生錯誤（如超過文件大小限制）時，上傳文件的臨時副本可能不會立即刪除。Apache說明："寫入本地存儲的上傳部分臨時副本未被立即清理，而是留待垃圾回收進(jìn)程刪除。根據(jù)JVM設(shè)置、應(yīng)用程序內(nèi)存使用情況和負(fù)載情況，臨時副本占用的空間可能比GC清理速度更快地被填滿，從而導(dǎo)致DoS。"

該漏洞影響：

• Tomcat 11.0.0-M1至11.0.11
• Tomcat 10.1.0-M1至10.1.46
• Tomcat 9.0.0.M1至9.0.109

建議用戶升級至Tomcat 11.0.12、10.1.47或9.0.110以防范此問題。