Uma grave vulnerabilidade de execução remota de código (RCE) foi descoberta em servidores Apache Tomcat, permitindo que atacantes assumam o controle dos sistemas por meio de uma solicitação de API PUT. Identificada como CVE-2025-24813, a falha já possui um exploit público disponível na internet, segundo alerta da empresa de segurança Wallarm.
Leia também
Jailbreak funciona na maioria dos modelos de IA
Dinamarca alerta para espionagem nas telecoms
O ataque ocorre em duas etapas. Primeiro, o invasor carrega um arquivo de sessão malicioso no servidor, contendo uma cadeia de gadgets ysoserial codificada em Base64 como carga útil. Esse arquivo é armazenado na sessão do Tomcat. Na segunda etapa, o atacante envia uma solicitação GET, usando um JSESSIONID para referenciar a sessão maliciosa. O servidor então recupera e desserializa o arquivo, executando o código Java embutido e concedendo acesso ao invasor.
De acordo com a Wallarm, o ataque é simples de realizar, desde que o Tomcat utilize armazenamento de sessão baseado em arquivo – algo comum em muitas implementações. Além disso, ele consegue driblar filtros de segurança tradicionais, já que a solicitação PUT parece legítima, a carga útil codificada dificulta a detecção e o ataque só se concretiza na fase de desserialização. Organizações que utilizam o Apache Tomcat devem revisar suas configurações e aplicar correções para mitigar o risco de exploração dessa vulnerabilidade.
