FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Apache软件基金会已发布多个安全补丁，修复影响Tomcat 9、10和11版本的三个新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最严重的CVE-2025-55752在特定条件下可能导致远程代码执行（RCE）。

URL重写机制安全绕过

CVE-2025-55752源于Tomcat URL重写处理功能的回归问题。安全公告指出："针对bug 60013的修复引入了新的问题——重写后的URL在解码前被规范化。这使得攻击者可能通过操纵请求URI，绕过包括/WEB-INF/和/META-INF/保护在内的安全约束。"

该漏洞可能允许攻击者绕过访问控制，在某些配置下通过HTTP PUT请求上传恶意文件，进而导致潜在的远程代码执行。但Apache强调标准配置下利用可能性较低，因为"PUT请求通常仅限于受信任用户，且不太可能同时启用PUT请求和URI操纵重写规则"。

受影响版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.M11至9.0.108

用户应升级至Tomcat 11.0.11、10.1.45或9.0.109以修复此问题。

控制台ANSI转义序列注入

CVE-2025-55754影响运行在支持ANSI转义序列的Windows控制台环境中的Tomcat实例。公告解释称："Tomcat未对日志消息中的ANSI转义序列进行转义处理。若Tomcat运行于Windows操作系统的控制台中，且该控制台支持ANSI转义序列，攻击者可能通过特制URL注入ANSI转义序列来操纵控制台和剪贴板，诱骗管理员执行攻击者控制的命令。"

虽然未发现直接攻击向量，但Apache警告类似操纵"可能在其他操作系统上实现"。受影响版本包括：

• Tomcat 11.0.0-M1至11.0.10
• Tomcat 10.1.0-M1至10.1.44
• Tomcat 9.0.0.40至9.0.108

建议用户升级至Tomcat 11.0.11、10.1.45或9.0.109。

多文件上传拒绝服务漏洞

第三个漏洞CVE-2025-61795可能导致多文件上传期间出现拒绝服务（DoS）情况。当发生错误（如超过文件大小限制）时，上传文件的临时副本可能不会立即删除。Apache说明："写入本地存储的上传部分临时副本未被立即清理，而是留待垃圾回收进程删除。根据JVM设置、应用程序内存使用情况和负载情况，临时副本占用的空间可能比GC清理速度更快地被填满，从而导致DoS。"

该漏洞影响：

• Tomcat 11.0.0-M1至11.0.11
• Tomcat 10.1.0-M1至10.1.46
• Tomcat 9.0.0.M1至9.0.109

建议用户升级至Tomcat 11.0.12、10.1.47或9.0.110以防范此问题。

参考来源：

Apache Tomcat Patches URL Rewrite Bypass (CVE-2025-55752) Risking RCE and Console ANSI Injection

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）