Moins d’une semaine après l’annonce d’une vulnérabilité dans Apache Tomcat, celle-ci est déjà activement exploitée.
La vulnérabilité récemment découverte dans Apache Tomcat permettait l’exécution de code à distance ainsi que l’accès à des fichiers sensibles et l’installation de malwares. La CVE-2025-24813 a été révélée le 10 mars. Selon l’entreprise de sécurité Wallarm, un exploit a été diffusé 30 heures plus tard, ce qui fait qu’elle est ‘activement exploitée’.
Quatre conditions
Aucune authentification n’est requise pour l’attaque, ce qui permet aux criminels d’exécuter facilement du code sur le serveur Tomcat. Dans l’avis de Wallarm , on peut lire que l’exploitation se fait par le stockage. ‘Via une requête PUT, où l’attaquant place un fichier de session malveillant sur le serveur et le chiffre, il peut ensuite déverrouiller le fichier et obtenir un accès complet au serveur.’
Apache lui-même qualifie l’erreur d’importante. L’entreprise souligne également que l’exploitation ne peut être réalisée que si quatre conditions sont remplies. ‘Deux paramètres par défaut dans Tomcat doivent être activés : les opérations d’écriture vers le servlet par défaut et la prise en charge des téléchargements PUT partiels. De plus, un emplacement de stockage par défaut doit être choisi pour les fichiers de Tomcat et une bibliothèque vulnérable doit être présente.’
La faille est présente dans les versions d’Apache Tomcat allant de 11.0.0-M1 à 11.0.2, de 10.1.0-M1 à 10.1.34 et de 9.0.0.M1 à 9.0.98. Une solution temporaire consiste à exécuter Tomcat en mode ‘lecture seule’.
lire aussi