一、漏洞详情

Apache Tomcat是一个开源的Web服务器和Servlet容器，广泛用于Web应用的部署和运行。Tomcat的RewriteValve组件是一个服务器端的URL重写引擎。

近日，监测到官方修复Apache Tomcat RewriteValve路径遍历漏洞(CVE-2025-55752)，该漏洞产生于在Apache Tomcat的RewriteValve 组件中，由于URL规范化与解码操作的执行顺序存在缺陷，导致攻击者能够突破安全路径限制，直接访问受保护的敏感目录。如果同时启用了PUT请求或WebDAV功能，则攻击者可以上传恶意JSP文件并通过路径遍历执行，从而造成远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

11.0.0-M1 <= Apache Tomcat < 11.0.11

10.1.0-M1 <= Apache Tomcat < 10.0.45

9.0.0-M1 <= Apache Tomcat < 9.0.109

三、修复建议

官方已发布安全更新， 请尽快更新到安全版本：

Apache Tomcat >= 11.0.11

Apache Tomcat >= 10.0.45

Apache Tomcat >= 9.0.109