CVE-2025-24813 PoC — Apache Tomcat: Potential RCE and/or information disclosure and/or information corruption with partial PUT

Source

Associated Vulnerability

Description

PoC para o CVE-2025-24813

Readme

############################################################
#               CVE-2025-24813 - Apache Tomcat             #
#      Prova de Conceito para Execução Remota (RCE)        #
#            PoC por: Maliqto (para fins educativos)       #
############################################################

⚠️ AVISO LEGAL:
Este exploit deve ser utilizado apenas em ambientes de teste controlados com autorização. 
O uso não autorizado contra sistemas de terceiros é crime.

------------------------------------------------------------
📌 DESCRIÇÃO:
Exploit que testa e explora a falha de desserialização no Apache Tomcat 
(versões 9.0.0.M1 até 9.0.98, 10.1.0-M1 até 10.1.34, 11.0.0-M1 até 11.0.2).
Permite execução remota de comandos no servidor vulnerável.

------------------------------------------------------------
🧰 REQUISITOS:

- Python 3
- Java (JDK) instalado
- ysoserial.jar (https://github.com/frohoff/ysoserial)
- Apache Tomcat vulnerável configurado com suporte ao método HTTP PUT

------------------------------------------------------------
📂 ESTRUTURA DO DIRETÓRIO:

/meu-lab/
├── exploit_cve_2025_24813.py
├── ysoserial.jar
└── README_POC_CVE-2025-24813.txt

------------------------------------------------------------
⚙️ USO BÁSICO:

python3 exploit_cve_2025_24813.py http://<alvo>:<porta> \
    --command "<comando>" \
    --ysoserial ysoserial.jar \
    --gadget CommonsCollections6 \
    --payload_type ysoserial

Exemplo:

python3 exploit_cve_2025_24813.py http://localhost:8080 \
    --command "whoami" \
    --ysoserial ysoserial.jar \
    --gadget CommonsCollections6 \
    --payload_type ysoserial

------------------------------------------------------------
🔧 OUTRAS OPÇÕES:

--payload_type java
> Usa payload compilado localmente em Java (sem ysoserial)

--no-ssl-verify
> Desativa verificação SSL (para HTTPS com certificados inválidos)

------------------------------------------------------------
🛡️ MITIGAÇÃO:

- Atualize o Apache Tomcat para versão mais recente
- Desative suporte ao método PUT no `web.xml`
- Aplique regras de firewall e WAF
- Habilite logging e auditoria de uploads/sessões

------------------------------------------------------------
📎 OBSERVAÇÃO FINAL:

Este código foi criado com propósito educacional para demonstrar uma falha real. 
Não nos responsabilizamos por uso indevido.

File Snapshot

 [4.0K]  /data/pocs/aaa35ca92689e7db72ac57d39f189f8043c8fabd
├── [ 10K]  poc-cve.py
└── [2.4K]  README.md

0 directories, 2 files

Remarks