Uma vulnerabilidade recentemente divulgada no Apache Tomcat começou a ser explorada ativamente apenas 30 horas após sua publicação e a liberação de um proof-of-concept (PoC). O problema, identificado como CVE-2025-24813, afeta as versões Tomcat 11.0.0-M1 a 11.0.2, Tomcat 10.1.0-M1 a 10.1.34 e Tomcat 9.0.0-M1 a 9.0.98. A falha pode levar à execução remota de código (RCE) ou à exposição de informações confidenciais em servidores vulneráveis.

A exploração ocorre quando algumas condições específicas são atendidas, como o suporte a PUT parcial estar ativado e a gravação estar permitida para o servlet padrão. Pesquisadores confirmaram que a vulnerabilidade já está sendo explorada ativamente. O ataque ocorre em duas etapas: primeiro, o invasor envia uma solicitação PUT contendo um payload Java serializado codificado em Base64, que é armazenado no diretório de sessões do Tomcat. Em seguida, ele dispara um pedido GET com um identificador de sessão malicioso (JSESSIONID) para executar o código injetado.

Especialistas alertam que o problema não exige autenticação e que atacantes podem modificar arquivos críticos, enviar scripts maliciosos em JSP e até implantar backdoors nos servidores comprometidos. A recomendação imediata é que administradores atualizem suas versões para Tomcat 9.0.99, 10.1.35 e 11.0.3 para mitigar riscos de invasão.