【复现】Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)风险通告
2024-12-18 04:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:34 收藏

-赛博昆仑漏洞安全通告-

Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)风险通告

漏洞描述

Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。
近日,赛博昆仑CERT监测到Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)的漏洞情报。当DefaultServlet 对大小写不敏感的文件系统启用了写入功能(只读初始化参数readonly设置为非默认值 false),攻击者可以通过条件竞争同时读取和上传同一文件,可能会绕过 Tomcat 的大小写敏感性检查,导致上传的文件被视为 JSP,从而导致远程代码执行。
漏洞名称
Tomcat DefaultServlet远程代码执行漏洞
漏洞公开编号
CVE-2024-50379
昆仑漏洞库编号
CYKL-2024-030781 
漏洞类型
代码执行
公开时间
2024-12-17
漏洞等级
中危
评分
8.3
漏洞所需权限
漏洞利用难度
PoC状态
已公开
EXP状态
已公开
漏洞细节
未知
在野利用
未知
影响版本

9.0.0.M1 <= Apache Tomcat <= 9.0.97

10.1.0-M1 <= Apache Tomcat <= 10.1.33

11.0.0-M1 <= Apache Tomcat <= 11.0.1

漏洞利用条件
  1. 需要tomcat配置中DefaultServlet的初始参数readonly为false(默认不为false)
  2. 需要文件系统对大小写不敏感
漏洞复现

目前赛博昆仑CERT已确认漏洞原理,复现截图如下:

复现版本为9.0.96

防护措施
  • 修复建议

目前,方已发布修复建议,建议受影响的用户尽快升级至安全版本。

下载地址:https://tomcat.apache.org/download-90.cgi

  • 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT

参考链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
时间线
2024年12月17日,Apache Tomcat官方公开漏洞
20241218日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: https://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484736&idx=1&sn=174f2fddd9500e3b10c1bd5141227669&chksm=c12af8c1f65d71d7732773062e3837b07ac17fe2a30a3f21196a10c8077d0a5dfb3c7919a895&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh