【已复现】Apache Tomcat条件竞争致远程代码执行漏洞（CVE-2024-50379）

漏洞成因

该漏洞源于 Windows 文件系统与 Tomcat 在路径大小写敏感性处理上的不一致。攻击者利用了 Tomcat 路径校验逻辑中的缺陷，通过绕过路径一致性检查，将原本无法解析的文件（如大小写不同的 JSP 文件）转为可解析状态。

当默认 Servlet 的 readonly 参数被设置为 false（非默认配置）并允许使用 PUT 方法上传文件时，攻击者能够上传包含恶意 JSP 代码的文件并通过条件竞争不断发送请求，触发 Tomcat 对其解析和执行，最终实现远程代码执行。

漏洞影响

成功利用该漏洞的攻击者可以实现远程代码执行，控制受影响的服务器，潜在的危害包括数据泄露、系统崩溃，甚至可能被用于传播勒索等恶意软件。

处置优先级：高

漏洞类型：逻辑漏洞

漏洞危害等级：严重

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：非默认配置，需启用HTTP PUT方法，且操作系统为Windows

用户交互要求：无需用户交互

利用成熟度：POC/EXP已公开

批量可利用性：可使用通用 POC/EXP，批量检测/利用

修复复杂度：低，官方提供补丁修复方案

影响版本

Affects


11.0.0-M1 <= Apache Tomcat < 11.0.2
10.1.0-M1 <= Apache Tomcat < 10.1.34
9.0.0.M1 <= Apache Tomcat < 9.0.98

解决方案

Solution

1. 根据业务需求评估，将 conf/web.xml文件中的 readOnly 参数设置为 true 或注释该参数，禁用 PUT 方法并重启 Tomcat 服务以使配置生效，从而临时规避该安全风险。

2. 使用WAF等防护设备对目标系统进行防护，拦截包含恶意代码的文件上传请求。

3. 如非必要，避免将相关资产直接暴露在互联网上。

Apache 官方已发布安全通告并发布了修复版本11.0.2、10.1.34、9.0.98，请尽快下载安全版本修复漏洞。

漏洞复现

Support

云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测。

洞鉴：预计本周内发布更新支持该漏洞的检测。

雷池：默认支持检测该漏洞的利用行为。

全悉：默认可以检测使用PUT方法上传WebShell行为。

12月17日互联网公开披露该漏洞

12月18日长亭应急安全实验室复现漏洞

12月18日长亭安全应急响应中心发布通告