CVE-2025-24813 PoC — Apache Tomcat 环境问题漏洞

来源

https://github.com/Heimd411/CVE-2025-24813-noPoC

关联漏洞

标题:Apache Tomcat 环境问题漏洞 (CVE-2025-24813)
Description:Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本存在环境问题漏洞。攻击者利用该漏洞可以远程执行代码或泄露敏感信息。

介绍

# CVE-2025-24813-noPoC

After countless hours I was unable to come up with any real PoC.

While the deserialization of uploaded files *could* pose a threat, all payload-chains I tested failed.

Tested on versions 9.0.90 and 10.1.15 of Apache Tomcat

**Nothing else to see here!**


SEVERE [http-nio-8080-exec-5] org.apache.catalina.core.StandardHostValve.invoke Exception Processing /
        java.lang.RuntimeException: IllegalAccessException: java.lang.IllegalAccessException: class org.apache.commons.beanutils.PropertyUtilsBean cannot access class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl (in module java.xml) because module java.xml does not export com.sun.org.apache.xalan.internal.xsltc.trax to unnamed module @7c53a9eb


SEVERE [http-nio-8080-exec-2] org.apache.catalina.core.StandardHostValve.invoke Exception Processing /
        org.apache.commons.collections.FunctorException: InvokerTransformer: The method 'newTransformer' on 'class com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl' cannot be accessed

...

文件快照

登录后查看神龙缓存的 POC 文件快照

登录查看

备注

1. 建议优先通过来源进行访问。

2. 本地 POC 快照面向订阅用户开放；当原始来源失效或无法访问时，本地镜像作为订阅权益的一部分提供。

查看订阅方案 →

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2025-24813 PoC — Apache Tomcat 环境问题漏洞

来源

关联漏洞

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！