Linux环境下 Tomcat 常见安全漏洞与风险概览
一、近年高危漏洞清单
| 漏洞编号 | 类型 | 触发条件(Linux常见) | 影响版本 | 修复版本 | 关键要点 |
|---|---|---|---|---|---|
| CVE-2025-24813 | RCE(反序列化) | 启用 DefaultServlet 写入(readonly=false)、启用 partial PUT、使用基于文件的会话持久化(默认路径)、类路径存在可利用链(如 Commons-Collections) | 9.0.0.M1–9.0.98、10.1.0–10.1.34、11.0.0–11.0.2 | 9.0.99、10.1.35、11.0.3 | 利用路径规范化将“/”转为“.”,结合 JSESSIONID=.xxx 触发加载恶意序列化数据 |
| CVE-2024-50379 | RCE(TOCTOU) | 文件系统大小写不敏感(如 macOS APFS/HFS+ 或 Windows)、启用写入、并发 PUT/GET | 9.0.0.M1–9.0.97、10.1.0–10.1.33、11.0.0–11.0.1 | 9.0.98、10.1.34、11.0.2 | 并发上传与访问 .Jsp/.jsp 利用时间窗口执行代码 |
| CVE-2025-55752 | 访问控制绕过(URL重写) | 启用 URI 重写 且同时开放 PUT(默认通常仅受信用户可用) | 9.0.0.M11–9.0.108、10.1.0–10.1.44、11.0.0–11.0.10 | 9.0.109、10.1.45、11.0.11 | 重写后 URL 在解码前规范化,可能绕过 /WEB-INF/、/META-INF/ 保护,存在上传后 RCE 的潜在链 |
| CVE-2020-1938 | 任意文件读取/包含(AJP) | 暴露 AJP Connector(8009) 且可被外网访问 | 6.x、7.<7.0.100、8.<8.5.51、9.<9.0.31 | 升级至修复版本 | 通过 AJP 参数操控实现文件读取/包含,配合上传可进一步 RCE |
| CVE-2017-12615/12617 | 任意文件写入/RCE | 将 DefaultServlet readonly=false 并允许 HTTP PUT | 7.0.0–7.0.79(12615);后续分析指出 5.x–9.x 在特定绕过下也可能受影响(12617) | 升级至修复版本 | 利用 evil.jsp/、evil.jsp%20 等绕过,在 Linux 下也可用 evil.jsp/ 触发写入 |
| CVE-2016-8735 | 反序列化 RCE(JMX) | 使用 JmxRemoteLifecycleListener 且目标存在反序列化 gadget 链 | 9.0.0.M1–9.0.0.M11、8.5.0–8.5.6、8.0.0.RC1–8.0.38、7.0.0–7.0.72、6.0.0–6.0.47 | 升级至修复版本 | 通过 JMX 反序列化接管 Tomcat 生命周期 |
| CVE-2019-0232 | RCE(CGI) | 启用 CGIServlet、开启 enableCmdLineArguments、将 executable 置空或不当配置 | 受影响版本以 9.0.x、8.5.x、7.0.x 的旧版为主 | 升级至修复版本 | 参数拼接到命令行执行,造成命令注入 |
| 注:上表为 Linux 生产环境最常见与影响较大的漏洞类型与条件,具体是否可利用取决于启用的组件与配置。 |
二、Linux特有的注意点
三、快速自查要点
四、加固与修复建议