Apache与Tomcat三大安全漏洞解析：CVE-2025-55752可致远程代码执行

Apache软件基金会近日发布了多项安全补丁，专门修复影响Tomcat 9、10和11三个版本的三个新披露漏洞。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

这些补丁主要针对CVE-2025-55752、CVE-2025-55754和CVE-2025-61795三个漏洞。其中最严重的是CVE-2025-55752，在特定配置场景下可能导致远程代码执行。

URL重写机制的安全绕过问题

CVE-2025-55752漏洞源于Tomcat URL重写功能在处理过程中存在的递归问题。安全公告明确指出："针对bug 60013的修复引入了新的隐患——重写后的URL在解码前会被规范化处理。这使得攻击者能够通过精心构造请求URI，绕过包括/WEB-INF/和/META-INF/在内的核心目录保护机制。"

该漏洞可能被利用来突破访问控制限制，在某些配置环境下甚至允许通过HTTP PUT请求上传恶意文件，进而引发潜在的远程代码执行风险。不过Apache方面强调，在标准配置下实际威胁有限，因为"PUT请求通常仅限受信任用户使用，同时启用PUT请求和URI重写规则的可能性较低"。

受影响版本包括：

建议用户尽快升级至Tomcat 11.0.11、10.1.45或9.0.109版本以修复此漏洞。

控制台ANSI转义序列注入风险

CVE-2025-55754主要影响运行在支持ANSI转义序列的Windows控制台环境中的Tomcat实例。官方解释称："Tomcat未对日志消息中的ANSI转义序列进行适当过滤。当Tomcat运行于Windows系统的控制台环境，且该控制台支持ANSI转义序列时，攻击者可能通过特制URL注入转义序列来操控控制台显示和剪贴板内容，诱使管理员执行恶意命令。"

虽然目前尚未发现直接攻击向量，但Apache警告此类渗透手法"可能在其他操作系统上实现"。受影响范围涵盖：

建议用户升级至Tomcat 11.0.11、10.1.45或9.0.109版本。

多文件上传服务拒绝漏洞

第三个漏洞CVE-2025-61795可能导致多文件上传期间出现拒绝服务（DoS）状况。当上传过程出现错误（如超出文件大小限制）时，系统可能不会立即清理上传文件的临时副本。Apache说明："写入本地存储的上传文件临时副本未被及时清除，而是等待垃圾回收进程处理。根据JVM设置、应用程序内存使用状况和负载情况，临时文件占用存储空间的速度可能远超垃圾回收机制的处理能力，最终导致服务不可用。"

该漏洞影响以下版本：

建议用户升级至Tomcat 11.0.12、10.1.47或9.0.110版本以防范此问题。