【已复现】Apache Tomcat远程代码执行漏洞（CVE-2025-24813）

一：从Apache Tomcat官网下载的安装包名称中会包含Tomcat的版本号，如果用户解压后没有更改Tomcat的目录名称，可以通过查看文件夹名称来确定当前使用的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。也可以进入Tomcat安装目录的bin目录，运行version.bat（Linux运行version.sh）后，可查看当前的软件版本号。

二、如果该版本在受影响的范围内，可检查conf\web.xml文件中是否开启了PUT方法；打开web.xml文件，看org.apache.catalina.servlets.DefaultServlet处readonly是否设置成了false。

4.1 官方升级

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

4.2 临时防护措施

若相关用户暂时无法进行升级操作，也可使用下列措施进行临时缓解：

1、在不影响业务的前提下，相关用户可将conf/web.xml文件中的readonly参数设置为true或进行注释。

2、禁用PUT方法并重启Tomcat服务使配置生效。