近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Apache Tomcat安全漏洞（CNNVD-202503-1068、CVE-2025-24813）情況的報送。未授權(quán)的攻擊者能夠利用漏洞遠程執(zhí)行惡意代碼。Apache Tomcat多個版本均受此漏洞影響。目前，Apache官方已發(fā)布新版本修復(fù)了該漏洞，建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。

一、漏洞介紹

Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應(yīng)用服務(wù)器，用于實現(xiàn)對Servlet和JavaServer Page（JSP）的支持。漏洞源于Apache Tomcat反序列化機制未對用戶輸入進行嚴格驗證，攻擊者可通過構(gòu)造惡意序列化對象繞過安全限制，遠程執(zhí)行惡意代碼，進而控制服務(wù)器。

二、危害影響

Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本均受此漏洞影響。

三、修復(fù)建議

目前，Apache官方已發(fā)布新版本修復(fù)了該漏洞，建議用戶及時確認產(chǎn)品版本，盡快采取修補措施。