一、漏洞描述

Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。

该漏洞利用条件较为复杂，需同时满足以下四个条件：

（1）应用程序启用了 DefaultServlet 写入功能，该功能默认关闭。

（2）应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启。

（3）应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置。

（4）应用中包含一个存在反序列化漏洞的库，比如存在于类路径下的 commons-collections，此条件取决于业务实现是否依赖存在反序列化利用链的库。

综上所述，该漏洞实际利用难度较高，可酌情处置。

二、漏洞风险等级

漏洞威胁等级：高危

三、影响范围

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

四、修复建议

1、若启用了 DefaultServlet，请不要将初始参数 readonly 设置为 false（该值默认为true）。

2、目前官方已发布安全更新，建议用户尽快升级至最新版本：

官方补丁下载地址：

http://tomcat.apache.org/security-11.html

http://tomcat.apache.org/security-10.html

http://tomcat.apache.org/security-9.html

参考链接：

http://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq