近日,安全研究人员披露了 apache tomcat 开源中间件存在的高危漏洞,该安全漏洞编号为cve-2025-24813,该漏洞可通过构造恶意 put 请求,利用可写的 defaultservlet 实现远程代码执行(rce)、信息泄露或文件注入攻击。
漏洞被利用后究竟有多严重?
具体而言,当目标系统启用 defaultservlet 写入功能、支持部分 put 请求、使用默认会话存储路径且存在反序列化漏洞库时,攻击者可突破防线,导致服务器被控制或敏感数据泄露。据wallarm报告,该漏洞已经遭到利用,并且利用起来极其简单,且无需身份验证。
通过恶意会话文件上传与反序列化,攻击者可窃取服务器内存中的敏感会话信息、数据库凭证等核心资产。更危险的是,该漏洞允许攻击者将几乎任何文件上传到任意位置。后续可能直接植入恶意的jsp文件、篡改配置,导致业务数据遭系统性窃取或篡改。
中创的中间件产品会不会也有这样的问题呢?
答案当然是否定的!经安全评估及漏洞测试,中创应用服务器产品凭借其严格的安全设计,默认禁用可写的 defaultservlet、限制 put 功能使用场景,并通过多重输入验证和权限控制措施,有效抵御了此类攻击,目前确认不受cve-2025-24813 漏洞影响。
作为自主研发的中间件产品,中创应用服务器在安全能力建设上始终走在行业前列。在开发阶段,通过代码安全性审查、系统漏洞扫描检测,从源头把控风险,严格满足等保2.0三级、四级要求;加密安全层面,支持国密算法并适配安全传输协议,为数据安全筑牢屏障。
围绕多维安全能力布局:
√ 打造完善的权限控制机制,强化应用安全防护;
√ 支持应用访问控制,实现文件防篡改;
√ 配备全面审计日志体系,覆盖操作行为全记录。
√ 从权限管理、应用防护到文件安全、行为审计等方面形成全链条安全防护闭环。
漏洞闭环响应与生态协同防御
面对安全威胁,中创股份安全团队实时跟踪公共漏洞,建立“监测—修复—披露”快速响应机制,第一时间评估、测试并通过凯时k66会员登录官网提供补丁。同时联动网络安全众测平台,汇聚白帽子智慧优化防护体系,以领先的安全技术,助力用户在云环境下构建高性能、高可用的应用服务器,夯实数字时代安全底座。