Knowledge Base| Kiến thức Dịch vụ P.A Việt Nam

Bạn Tìm Gì Hôm Nay ...?

Tất cả đều có chỉ trong 1 nốt nhạc !

Nếu cần hỗ trợ chi tiết gọi 1900 9477

CVE-2025-24813 – Lỗ hổng mới của Apache Tomcat thực thi mã từ xa

  • Monday 02/06/2025

Apache Tomcat – một trong những máy chủ ứng dụng web mã nguồn mở phổ biến nhất hiện nay – vừa bị phát hiện tồn tại một lỗ hổng bảo mật nghiêm trọng có mã định danh CVE-2025-24813. Lỗ hổng này liên quan đến cơ chế xử lý đường dẫn (path equivalence) và có thể dẫn đến thực thi mã từ xa (RCE) hoặc rò rỉ thông tin nhạy cảm trên hệ thống máy chủ. Đáng lo ngại hơn, mã khai thác thử nghiệm (PoC – Proof of Concept) đã được công bố công khai, khiến nguy cơ bị tấn công trở nên hiện hữu và cấp bách hơn bao giờ hết.

Apache Tomcat

1. Bản chất kỹ thuật của lỗ hổng: Một dấu chấm, nhiều rủi ro

CVE-2025-24813 khai thác lỗi xử lý tương đương đường dẫn liên quan đến dấu chấm (.) trong tên tệp. Khi máy chủ Apache Tomcat xử lý các đường dẫn chứa ký tự đặc biệt này, trong một số cấu hình cụ thể, nó có thể nhận diện nhầm đường dẫn và cho phép truy cập hoặc ghi dữ liệu vào những vùng không được phép.

Vấn đề tưởng chừng đơn giản này lại có thể tạo điều kiện cho hai kịch bản tấn công cực kỳ nguy hiểm

2. Tấn công tiết lộ thông tin và phá hoại dữ liệu

Khi máy chủ được cấu hình để:

  • Cho phép ghi dữ liệu bằng servlet mặc định;

  • Bật partial PUT (mặc định là bật trên nhiều hệ thống);

  • Có các thư mục tĩnh chồng lắp giữa dữ liệu người dùng và dữ liệu hệ thống;

…thì kẻ tấn công có thể:

  • Xem các tệp nhạy cảm nếu đoán được tên;

  • Chèn dữ liệu độc hại vào các tệp đang được tải lên;

Điều này đe dọa nghiêm trọng đến tính toàn vẹn của dữ liệubảo mật ứng dụng, đặc biệt trong các hệ thống lưu trữ tệp hoặc xử lý upload không có kiểm soát chặt chẽ.

3. Thực thi mã từ xa – kịch bản tồi tệ nhất

Nguy cơ thực sự đến từ khả năng Remote Code Execution (RCE) – khi kẻ tấn công có thể thực thi mã tùy ý trên máy chủ.

Điều này xảy ra nếu hệ thống:

  • Cho phép ghi dữ liệu qua servlet mặc định;

  • Partial PUT vẫn được bật;

  • Tomcat sử dụng cơ chế lưu session mặc định (có ghi dữ liệu vào file);

  • Và có các thư viện dễ bị tấn công qua deserialization như commons-collections, XStream, v.v.

Khi đó, chỉ với một chuỗi yêu cầu HTTP được thiết kế tinh vi, kẻ tấn công có thể tải lên payload độc hại và kích hoạt nó, từ đó chiếm toàn quyền kiểm soát hệ thống.

4. Mức độ ảnh hưởng rộng khắp của Apache Tomcat

Lỗ hổng này ảnh hưởng đến ba nhánh chính của Apache Tomcat:

  • Tomcat 11.0.0-M1 đến 11.0.2

  • Tomcat 10.1.0-M1 đến 10.1.34

  • Tomcat 9.0.0.M1 đến 9.0.98 – đặc biệt phổ biến trong các doanh nghiệp

Dù Tomcat mặc định không cho phép ghi dữ liệu qua servlet mặc định, nhưng thực tế triển khai trong doanh nghiệp thường mở rộng cấu hình, để phục vụ các chức năng như upload, xử lý tệp, lưu session,… Điều này vô tình tạo ra môi trường lý tưởng để khai thác nếu chưa cập nhật bản vá.

5. Phản ứng và biện pháp phòng ngừa

Ngay sau khi phát hiện, Apache Software Foundation đã phát hành các bản vá chính thức:

  • Tomcat 11.0.3

  • Tomcat 10.1.35

  • Tomcat 9.0.99

Đồng thời, các chuyên gia bảo mật cũng đưa ra loạt khuyến nghị:

  • 🔄 Cập nhật ngay phiên bản Apache Tomcat mới nhất theo nhánh sử dụng;

  • Vô hiệu hóa partial PUT nếu không cần thiết;

  • 🔐 Xác minh quyền ghi dữ liệu của servlet mặc định;

  • 🚫 Loại bỏ các thư viện dễ bị khai thác deserialization nếu không sử dụng;

  • 🔍 Kiểm tra cấu hình session persistence và thư mục tĩnh chứa dữ liệu.

CVE-2025-24813 là minh chứng rõ ràng cho việc một chi tiết nhỏ như cách xử lý dấu chấm trong đường dẫn cũng có thể mở ra cánh cửa cho nhiều kiểu tấn công nguy hiểm – từ đọc trộm dữ liệu cho tới chiếm toàn quyền hệ thống. Trong bối cảnh mã khai thác đã được công bố, việc trì hoãn cập nhật hoặc bỏ qua cấu hình bảo mật có thể dẫn đến hậu quả nghiêm trọng về bảo mật, uy tín và tài chính.

Các quản trị viên hệ thống cần hành động ngay lập tức, không chỉ bằng cách cập nhật phần mềm, mà còn bằng việc rà soát lại toàn bộ cấu hình máy chủ, phân quyền truy cập, và chiến lược bảo vệ dữ liệu. Trong cuộc đua giữa bảo mật và khai thác, sự chủ động luôn là yếu tố quyết định.

Trên đây là bài viết chia sẻ cho bạn về Lỗ hổng mới của Apache Tomcat thực thi mã từ xa. Mong rằng những thông tin này sẽ hữu ích cho bạn

Xem thêm các bài viết hữu ích khác tại đây.

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàng

Hosting WordPress
Hosting Phổ Thông
Hosting Chất Lượng Cao

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/

Rate this post

Bài viết liên quan:

  1. Hướng dẫn chuyển đổi SSL từ X509 (Apache) sang Java Keystore .jks (Tomcat/JBoss)
  2. Lỗ hổng CVE-2023-20032 nghiêm trọng trong ứng dụng antivirus ClamAV
  3. CVE-2024-4984 lỗi bảo mật nghiêm trọng trong Yoast SEO
  4. Cách hiển thị lỗi code NukeViet

Tag phổ biến