Apache Tomcat-servers zijn kwetsbaar voor een nieuw ontdekte remote code execution (RCE)-kwetsbaarheid. Kwaadwillenden kunnen via een PUT API-verzoek de servers overnemen. Een exploit is al gepubliceerd op internet. Hiervoor waarschuwt Wallarm, dat zich richt op API-beveiliging. De kwetsbaarheid (CVE-2025-24813) is in twee stappen uit te buiten. Allereerst upload een kwaadwillende een malafide sessiebestand naar de server, met als payload een base64-encoded ysoserial gadget chain.

Dit verzoek schrijft het bestand weg naar de opslag voor sessiedata op de Tomcat-server. Stap twee bestaat uit het deserialiseren van het bestand door een GET-verzoek te versturen met de JSESSIONSID die naar de malafide sessie verwijst. De Tomcat-server haalt vervolgens het opgeslagen bestand op, deserialiseert dit en voert de embedded Java-code uit. Dit geeft de aanvaller toegang tot de server.

Wallarm stelt dat de aanval erg eenvoudig uitvoerbaar is. De enige vereiste is dat de Tomcat-server file-gebaseerde sessieopslag gebruikt, wat in veel implementatie het geval is. Ook weet de aanval de meeste traditionele securityfilters te omzeilen, waardoor de aanval moeilijk detecteerbaar is. Zo ziet het PUT-verzoek er normaal uit en bevat geen duidelijk kwaadaardige content, is de payload 64base-gecodeerd wat patroon-gebaseerde detectie bemoeilijkt en bestaat de aanval uit twee stappen waarbij het schadelijke deel van de aanval pas tijdens de deserialisatie wordt uitgevoerd.