□ 개요

CVE-2025-24813은 Apache Tomcat에서 발견된 보안 취약점으로, Partial PUT 기능과 기본 서블릿에 대한 쓰기 권한이 결합되어 발생한다. 이 취약점은 정보 유출 및 손상, 원격 코드 실행(RCE)과 같은 심각한 보안 문제를 초래할 수 있다. 공격자는 이 취약점을 악용하여 민감한 파일을 엿보거나 수정하고, 악성 코드를 실행시킬 수 있다.

※ 글 작성 시점(25.03.11) 기준, 공개된 PoC는 확인되지 않음

□ 취약점 영향

(1) 정보 유출 및 손상
기본 서블릿에 쓰기 권한이 활성화되고, Partial PUT이 활성화된 상태에서, 민감한 파일이 공개 업로드 URL의 하위 디렉토리에 업로드된다면 공격자는 민감한 파일을 읽거나 해당 파일에 악성 콘텐츠를 삽입할 수 있다. 이 문제는 공격자는 민감한 파일 이름을 알고 있으며, 해당 파일에 대한 Partial PUT이 가능한 경우 발생할 수 있다.

(2) 원격 코드 실행(RCE)
기본 서블릿에 쓰기 권한이 활성화되고, Partial PUT이 활성화된 상태에서, Tomcat의 파일 기반 세션 저장소를 사용하는 애플리케이션이 역직렬화 취약점을 가진 라이브러리를 포함한 경우, 공격자는 원격에서 코드를 실행할 수 있다. 이로 인해 서버가 완전히 제어될 수 있다.

□ 영향받는 버전

□ Tomcat 설치 버전 확인 방법

Tomcat 설치 디렉토리의 bin 디렉토리에서 version.bat (Windows의 경우) 또는 version.sh (Linux 또는 macOS의 경우) 스크립트를 실행하여 확인할 수 있다.

□ 기본 서블릿 쓰기 권한 활성화 여부 확인 방법

Tomcat 설치 디렉토리 내의 conf/web.xml 파일을 열어 org.apache.catalina.servlets.DefaultServlet의 readonly 속성이 false로 설정되어 있다면 쓰기 권한이 활성화되어 있는 상태이다.

□ 대응 방안

- Apache Tomcat 11.0.3 이상으로 업그레이드
- Apache Tomcat 10.1.35 이상으로 업그레이드
- Apache Tomcat 9.0.99 이상으로 업그레이드

□ 참고 자료

[1] https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

[2] https://securityonline.info/cve-2025-24813-flaw-in-apache-tomcat-exposes-servers-to-rce-data-leaks-update-immediately/

[3] https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20250311/

보안관제센터 MIR Team