Apache Tomcat Partial PUT漏洞与文件会话持久化漏洞分析<\/h1>

CVE-2025-24813: Partial PUT漏洞<\/h2>

漏洞描述<\/h3>
Apache Tomcat的Partial PUT原始实现使用基于用户提供的文件名和路径生成的临时文件，当处理不完整的PUT请求时，会将文件路径中的分隔符`\/<\/code>替换为.<\/code>。当应用使用了Tomcat的文件会话持久化功能并使用了默认的会话存储位置时，攻击者可以通过partial PUT请求将包含恶意序列化数据的文件上传至会话目录，并完成反序列化。<\/p>`

影响版本<\/h3>

Apache Tomcat 1.0.0-M1至11.0.1<\/li>
Apache Tomcat 10.1.0-M1至10.1.33<\/li>
Apache Tomcat 9.0.0.M1至9.0.97<\/li>
<\/ul>
利用条件<\/h3>

DefaultServlet启用了写入功能(ReadOnly=False)<\/li>
支持Partial PUT请求<\/li>
应用程序开启了Tomcat基于文件的会话持久化功能，并采用默认的存储位置<\/li>
应用程序存在能被用于反序列化的库<\/li>
<\/ol>
漏洞复现步骤<\/h3>

在context.xml<\/code>中开启Session的持久化存储：<\/li>
<\/ol>
<Manager<\/span> className=<\/span>"org.apache.catalina.session.PersistentManager"<\/span>><\/span>
<\/span><\/span>    <Store<\/span> className=<\/span>"org.apache.catalina.session.FileStore"<\/span> directory=<\/span>"session"<\/span>\/><\/span>
<\/span><\/span><\/Manager><\/span>
<\/span><\/span><\/code><\/pre>
开启DefaultServlet的默认写入功能：<\/li>
<\/ol>
<servlet><\/span>
<\/span><\/span>    <servlet-name><\/span>default<\/servlet-name><\/span>
<\/span><\/span>    <servlet-class><\/span>org.apache.catalina.servlets.DefaultServlet<\/servlet-class><\/span>
<\/span><\/span>    <init-param><\/span>
<\/span><\/span>        <param-name><\/span>readonly<\/param-name><\/span>
<\/span><\/span>        <param-value><\/span>false<\/param-value><\/span>
<\/span><\/span>    <\/init-param><\/span>
<\/span><\/span><\/servlet><\/span>
<\/span><\/span><\/code><\/pre>
如果Tomcat本地依赖中存在Jackson链，可以尝试上传反序列化文件<\/li>
<\/ol>
漏洞分析<\/h3>


在DefaultServlet处理doPut<\/code>请求时，当readOnly<\/code>为False且开启parseContentRange<\/code>分块传输字段后，会进入executePartialPut<\/code>方法<\/p>
<\/li>

在executePartialPut<\/code>中：<\/p>

从上下文获取临时目录对象<\/li>
将资源路径中的\/<\/code>替换为.<\/code><\/li>
以读写模式打开新创建的临时文件<\/li>
从请求输入流中读取数据(每次4096字节)<\/li>
将数据写入临时文件<\/li>
<\/ul>
<\/li>

临时目录默认位置：${CATALINA_BASE}\/work\/Catalina\/${HOST_NAME}\/${CONTEXT_PATH}<\/code><\/p>
<\/li>

由于开启了Session持久化存储，session文件的默认存储点正好位于上述临时文件夹<\/p>
<\/li>

当加载session时，会从临时文件夹中查找session命名的文件，通过流读取文件内容，最终通过readObjectData<\/code>对内容进行反序列化，导致RCE<\/p>
<\/li>
<\/ol>
CVE-2024-50379: 文件大小写条件竞争漏洞<\/h2>
漏洞描述<\/h3>
由于MacOS和Windows平台的Tomcat在加载JSP文件时使用File.exists()<\/code>检查文件是否存在，而平台不区分大小写，导致可以通过条件竞争方式加载xxx.Jsp<\/code>文件并成功写入DefaultServlet中，可能导致服务器权限被接管。<\/p>
影响版本<\/h3>

1.0.0-M1 <= Apache Tomcat <= 11.0.1<\/li>
10.1.0-M1 <= Apache Tomcat <= 10.1.33<\/li>
9.0.0.M1 <= Apache Tomcat <= 9.0.97<\/li>
<\/ul>
利用条件<\/h3>
DefaultServlet启用了默认HTTP PUT写入功能，或存在任意文件上传漏洞。<\/p>
漏洞分析<\/h3>


Tomcat通过getResource<\/code>方法安全访问Web应用资源：<\/p>

首先验证路径获取资源<\/li>
资源不存在则返回空资源对象<\/li>
DirResourceSet<\/code>从WebResourceSet<\/code>继承实现接口<\/li>
<\/ul>
<\/li>

在file<\/code>方法中：<\/p>

对资源文件进行安全检查(阻止符号链接，检查文件合法性)<\/li>
通过normalize<\/code>统一平台路径分隔符<\/li>
<\/ul>
<\/li>

关键问题：<\/p>

访问test.jsp<\/code>时，file.getCanonicalPath()<\/code>得到test.Jsp<\/code><\/li>
getCanonicalPath<\/code>是区分大小写的，但底层FindFirstFileW<\/code>API不区分大小写<\/li>
absPath<\/code>获取到的是test.jsp<\/code>，与canPath<\/code>(test.Jsp<\/code>)比较时因大小写差异返回空对象<\/li>
<\/ul>
<\/li>

当文件夹中不存在test.Jsp<\/code>时，访问test.jsp<\/code>：<\/p>

canPath<\/code>和absPath<\/code>都获取到test.jsp<\/code><\/li>
文件判断通过，返回文件<\/li>
<\/ul>
<\/li>

利用方式：<\/p>

当readonly=False<\/code>时，并发执行PUT和GET方法<\/li>
由于没有锁机制，可能导致f.exists<\/code>通过资源检查<\/li>
通过并发PUT xxx.Jsp<\/code>和GET xxx.jsp<\/code>，当PUT请求文件落地时，GET可能读取xxx.Jsp<\/code>并交给JspServlet<\/code>处理<\/li>
<\/ul>
<\/li>

修复方式：增加了锁机制，在write操作未完成时阻塞read操作<\/p>
<\/li>
<\/ol>
总结对比<\/h2>


CVE-2025-24813<\/strong>：<\/p>

Partial PUT处理不完整PUT请求时替换文件路径分隔符<\/li>
利用session持久化机制，PUT上传文件到临时文件夹<\/li>
通过session完成反序列化<\/li>
<\/ul>
<\/li>

CVE-2024-50379<\/strong>：<\/p>

MacOS\/Windows平台因File.exists()<\/code>检查及大小写忽略问题<\/li>
通过条件竞争加载xxx.Jsp<\/code>文件写入DefaultServlet<\/li>
GET xxx.jsp<\/code>可能加载到xxx.Jsp<\/code>并由JspServlet<\/code>处理<\/li>
<\/ul>
<\/li>

CVE-2017-12615<\/strong>：<\/p>

构造特殊后缀名绕过检测<\/li>
让DefaultServlet处理请求上传JSP文件<\/li>
导致Webshell上传<\/li>
<\/ul>
<\/li>
<\/ol>
参考<\/h2>

https:\/\/mp.weixin.qq.com\/s\/ewvMUC7CFNMmwexVLVOAzA<\/li>
<\/ul>

Apache Tomcat Partial PUT漏洞与文件会话持久化漏洞分析<\/h1>

CVE-2025-24813: Partial PUT漏洞<\/h2>

利用条件<\/h3> DefaultServlet启用了默认HTTP PUT写入功能，或存在任意文件上传漏洞。<\/p>

参考<\/h2> https:\/\/mp.weixin.qq.com\/s\/ewvMUC7CFNMmwexVLVOAzA<\/li> <\/ul>

利用条件<\/h3>
DefaultServlet启用了默认HTTP PUT写入功能，或存在任意文件上传漏洞。<\/p>

参考<\/h2>

https:\/\/mp.weixin.qq.com\/s\/ewvMUC7CFNMmwexVLVOAzA<\/li> <\/ul>