개요: CVE-2025-24813로 식별된 새로운 취약점이 Apache Tomcat에서 발견되었습니다.

영향을 받는 버전:

• Apache Tomcat 11.0.0-M1 ~ 11.0.2
• Apache Tomcat 10.1.0-M1 ~ 10.1.34
• Apache Tomcat 9.0.0.M1 ~ 9.0.98

설명: 이 취약점은Apache Tomcat의 기본 서블릿에서 발생하는 경로 동등성 취약점 으로서, 'file.Name' 내부 점(.) 처리 관련 문제로 인해 원격 코드 실행 및/또는 정보 공개 및/또는 Apache Tomcat의 쓰기 가능 기본 서블릿을 통해 업로드된 파일에 악의적인 콘텐츠가 추가됩니다. 악의적인 사용자가 보안에 민감한 파일을 보고/또는 해당 파일에 콘텐츠를 삽입할 수 있습니다.

공격 시나리오: 2가지
1. 정보 노출 및 파일 조작 시나리오 필요 조건
- 기본 서블릿 쓰기 기능 활성화
- 부분적 PUT 지원 활성화
- 민감한 파일이 공개 업로드 URL의 하위 디렉토리에 위치
- 공격자가 민감한 파일명을 알고 있음
- 민감한 파일이 부분 PUT으로 업로드됨

영향:

• 심각도: 중간
• 잠재적 결과: 악의적인 사용자가 보안에 민감한 파일을 보고/또는 해당 파일에 콘텐츠를 삽입할 수 있습니다.

해결책:
- 이 취약점을 해결하려면 다음 버전으로 업그레이드하는 것이 권장 됩니다: 

• Apache Tomcat 11.0.3 이상
• Apache Tomcat 10.1.35 이상
• Apache Tomcat 9.0.98 이상