⚠️ آسیب‌پذیری حیاتی با امکان اجرای کد از راه دور در Apache Tomcat

◽️ یک آسیب‌پذیری حیاتی با شناسه CVE-2025-24813 در Apache Tomcat کشف شده است که سرورها را در معرض خطر اجرای کد از راه دور (RCE)، افشای اطلاعات و تخریب داده‌ها قرار می‌دهد. این نقص امنیتی ناشی از مدیریت نادرست درخواست‌های Partial HTTP PUT است و نسخه‌های 11.0.0-M1 تا 11.0.2، 10.1.0-M1 تا 10.1.34 و 9.0.0.M1 تا 9.0.98 را تحت تأثیر قرار می‌دهد. 🔹 این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا با ساختن نام فایل‌های مخرب، فایل‌هایی را خارج از دایرکتوری‌های موردنظر بنویسند، محتوای مخرب را تزریق کنند و به داده‌های حساس دسترسی پیدا کنند. با این حال برای بهره‌برداری از این نقص، مهاجمان نیاز به پیکربندی‌های خاصی در سمت سرور دارند. ✳️ توصیه: مدیران سرورها باید فوراً به نسخه‌های اصلاح‌شده Tomcat 11.0.3، 10.1.35 یا 9.0.98 به‌روزرسانی کنند. در صورت عدم امکان به‌روزرسانی، تنظیم allowPartialPut="false" در پیکربندی توصیه می‌شود.