Une vulnérabilité critique d’exécution de code à distance (RCE) dans Apache Tomcat identifiée comme CVE-2025-24813 est activement exploitée dans la nature, permettant aux attaquants de prendre le contrôle des serveurs avec une simple requête PUT.
Les pirates informatiques exploiteraient des exploits de preuve de concept (PoC) qui ont été publiés sur GitHub seulement 30 heures après la révélation de la faille la semaine dernière.
L’activité malveillante a été confirmée par les chercheurs en sécurité de Wallarm, qui ont averti que les outils de sécurité traditionnels ne parviennent pas à la détecter car les demandes PUT semblent normales et le contenu malveillant est obscurci à l’aide de l’encodage base64.
Plus précisément, l’attaquant envoie une requête PUT contenant une charge utile Java sérialisée codée en base64 enregistrée dans le stockage de session de Tomcat.
L’attaquant envoie ensuite une requête GET avec un cookie JSESSIONID pointant vers le fichier de session téléchargé, forçant Tomcat à désérialiser et à exécuter le code Java malveillant, accordant un contrôle complet à l’attaquant.
L’attaque ne nécessite pas d’authentification et est causée par Tomcat acceptant des requêtes PUT partielles et sa persistance de session par défaut.
« Cette attaque est extrêmement simple à exécuter et ne nécessite aucune authentification », explique Wallarm.
« La seule exigence est que Tomcat utilise un stockage de session basé sur des fichiers, ce qui est courant dans de nombreux déploiements. Pire encore, l’encodage base64 permet à l’exploit de contourner la plupart des filtres de sécurité traditionnels, ce qui rend la détection difficile. »
Le RCE du Matou
La faille de vulnérabilité d’exécution de code à distance CVE-2025-24813 a été divulguée pour la première fois par Apache le lundi 10 novembre 2025, affectant Apache Tomcat 11.0.0-M1 à 11.0.2, 10.1.0-M1 à 10.1.34 et 9.0.0.M1 à 9.0.98.
Le bulletin de sécurité avertissait les utilisateurs que, dans certaines conditions, un attaquant pouvait afficher ou injecter du contenu arbitraire sur des fichiers sensibles pour la sécurité.
Les conditions étaient les suivantes:
- Écritures activées pour la servlet par défaut (en lecture seule= « false ») — (Désactivée par défaut)
- La prise en charge de la VENTE partielle est activée (activée par défaut.)
- Les téléchargements sensibles à la sécurité se produisent dans un sous-répertoire d’un répertoire de téléchargement public.
- L’attaquant connaît les noms des fichiers sensibles pour la sécurité en cours de téléchargement.
- Ces fichiers sensibles à la sécurité sont téléchargés à l’aide d’un PUT partiel.
Apache a recommandé à tous les utilisateurs de passer aux versions 11.0.3+, 10.1.35+ ou 9.0.99+ de Tomcat, qui sont corrigées par rapport à CVE-2025-24813.
Les utilisateurs de Tomcat peuvent également atténuer le problème en revenant à la configuration de servlet par défaut (readonly= « true »), en désactivant la prise en charge partielle de PUT et en évitant de stocker des fichiers sensibles à la sécurité dans un sous-répertoire des chemins de téléchargement publics.
Alarm avertit que le plus gros problème mis en évidence dans ce cas n’est pas l’activité d’exploitation elle-même, mais le potentiel de vulnérabilités RCE supplémentaires résultant de la gestion partielle des PUT dans Tomcat.
« Les attaquants commenceront bientôt à changer de tactique, à télécharger des fichiers JSP malveillants, à modifier les configurations et à planter des portes dérobées en dehors du stockage de session. Ce n’est que la première vague », a averti Alarm.