Retenez bien cette référence de vulnérabilité : CVE-2025-24813. Cette nouvelle faille de sécurité de type exécution de code à distance affecte Apache Tomcat et elle est activement exploitée ! Une simple requête peut permettre à un attaquant de prendre le contrôle d’un serveur… Faisons le point sur cette menace.
Pour rappel, Apache Tomcat est un serveur web populaire et utilisé par certaines applications pour exécuter un applet Java. Nous pouvons citer, par exemple, Apache Guacamole et Jenkins.
CVE-2025-24813 : exploitation en cours
Les chercheurs en sécurité de Wallarm ont confirmé que des pirates exploitent déjà des exploits proof-of-concept (PoC) publiés sur GitHub pour attaquer des serveurs. Fait marquant : l’exploitation a débuté seulement 30 heures après la divulgation de la faille. Elle a été divulguée le 10 mars 2025 par Apache.
Ce qui est particulièrement inquiétant, c’est la facilité selon laquelle la faille CVE-2025-24813 peut être exploitée par les cybercriminels. En effet, l’attaque repose sur l’envoi d’une requête PUT contenant une charge utile Java sérialisée et encodée en base64, stockée en tant que fichier de session sur le serveur Tomcat. Ensuite, une requête GET est envoyée avec un cookie JSESSIONID pointant vers ce fichier de session, ce qui force Tomcat à le désérialiser et à exécuter le code malveillant.
Les chercheurs en sécurité précisent : “Cette attaque est d’une simplicité déconcertante et ne nécessite aucune authentification”.
Il y a tout de même une condition à respecter pour exploiter cette vulnérabilité : le serveur Tomcat doit utiliser un stockage de session basé sur des fichiers. C’est une configuration très répandue. Ce même rapport précise : “Pire encore, l’encodage en base64 permet à l’exploit de contourner la plupart des filtres de sécurité, rendant la détection difficile.”
D’après les chercheurs en sécurité Wallarm, ces attaques rapides ne sont que le début de l’exploitation de cette vulnérabilité : “Les attaquants commenceront bientôt à changer de tactique, en téléchargeant des fichiers JSP malveillants, en modifiant les configurations et en installant des portes dérobées à l’extérieur du stockage des sessions. Il ne s’agit là que de la première vague.”
Qui est affecté ? Comment se protéger ?
La vulnérabilité CVE-2025-24813 touche les versions suivantes d’Apache Tomcat :
11.0.0-M1 à 11.0.2
10.1.0-M1 à 10.1.34
9.0.0.M1 à 9.0.98
Le bulletin de sécurité d’Apache invite les administrateurs à effectuer une mise à jour rapide vers l’une de ces versions : 11.0.3+, 10.1.35+ et 9.0.99+. Pour ceux qui ne peuvent pas mettre à jour Apache Tomcat dans l’immédiat, plusieurs mesures d’atténuation sont suggérées :
Revenir à la configuration par défaut du servlet (readonly=”true”).
Désactiver la prise en charge des requêtes PUT partielles.
Éviter le stockage de fichiers sensibles dans un sous-répertoire d’un répertoire public.
Bien entendu, ces mesures d’atténuation sont à prendre en considération en fonction du contexte d’utilisation d’Apache Tomcat, car elles peuvent avoir un impact sur l’application hébergée.
Patchez.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.