作为全球广泛使用的开源 Web 服务器与 Servlet 容器,Apache Tomcat 承载着大量企业应用的运行。近期安全社区披露了 Apache Tomcat 存在高危路径遍历漏洞(CVE-2025-55752),该漏洞因 URL 处理逻辑缺陷可导致攻击者绕过安全限制,甚至实现远程代码执行。目前漏洞 POC 与技术细节已公开,CVSS 3.1 评分为 7.5,所有使用受影响版本的企业需立即启动自查与防护。
漏洞核心概况
| 维度 | 详情 |
|---|---|
| 漏洞名称 | Apache Tomcat RewriteValve 路径遍历漏洞 |
| 漏洞编号 | CVE-2025-55752 |
| 公开时间 | 2025 年 10 月 27 日 |
| 威胁评级 | 高危;CVSS 3.1:7.5 |
| 影响范围 | 广泛 |
| 核心风险 | 信息泄露、远程代码执行 |
| 利用状态 | POC 已公开 |
| 关键组件 | Apache Tomcat 的 RewriteValve |
漏洞深层解析
要理解 CVE-2025-55752 的危害,需先明确其影响的核心组件与漏洞成因——这并非简单的配置疏漏,而是组件内部 URL 处理流程的设计缺陷。
核心影响组件:RewriteValve
RewriteValve 是 Apache Tomcat 的内置服务器端 URL 重写引擎,其核心作用是通过预设规则动态修改传入请求的 URL,常见应用场景包括:
- 实现 URL 美化(如将
?id=123转为/page/123) - 配置页面重定向(如 HTTP 跳转 HTTPS)
- 基于业务条件路由请求(如不同地区指向不同服务器)
该组件默认不启用,但大量企业为优化 Web 服务体验会主动配置,这也导致漏洞影响范围进一步扩大。
漏洞成因:URL 规范化与解码的顺序错误
漏洞的根源在于 RewriteValve 处理 URL 时,解码操作与规范化操作的执行顺序颠倒:
- 正常逻辑:应先对 URL 进行'规范化'(如去除
../等路径遍历字符),再执行 URL 编码解码(如将%2F转为/),确保恶意路径被提前过滤 - 缺陷逻辑:RewriteValve 先执行了解码(将攻击者构造的
%2FWEB-INF%2F解码为/WEB-INF/),再进行规范化——此时敏感路径已生成,规范化操作无法识别并拦截,最终导致攻击者可直接访问 Tomcat 的受保护目录
危害递进:从'信息泄露'到'远程控制'
漏洞的危害程度随环境条件升级,呈现明显的递进关系:
- 基础危害:敏感信息泄露:无论是否开启其他功能,攻击者均可利用漏洞访问 Tomcat 的
/WEB-INF/(存放 web.xml 等应用配置)、/META-INF/(存放应用元数据)等敏感目录,获取数据库连接信息、接口密钥等核心数据,为后续攻击铺垫 - 高危危害:远程代码执行:若目标 Tomcat 同时满足以下两个条件,攻击者可进一步上传恶意文件,实现远程代码执行并控制服务器:
- 启用了 HTTP PUT 请求方法(允许客户端向服务器上传文件)
- 开启了 WebDAV 功能(一种支持文件上传/管理的 HTTP 扩展协议)
此时,攻击者可通过路径遍历漏洞上传恶意 JSP 文件,执行任意命令(如获取服务器权限、植入后门)。
影响范围与利用条件
并非所有 Apache Tomcat 设备都会受 CVE-2025-55752 影响,需同时满足'版本范围'与'配置条件'才存在风险。
