Pada 10 Maret 2025, Apache Software Foundation melakukan publikasi CVE-2025-24813 dengan severity kritikal dengan skor CVSS 9.8, sebuah kerentanan Unauthenticated Remote Code Execution (RCE) ditemukan pada Apache Tomcat. Serangan pertama yang memanfaatkan CVE-2025-24813 ini terdeteksi pada 12 Maret 2025 di Polandia, jauh sebelum public exploit Proof-of-Concept dipublikasi di Github pada 14 Maret 2025. Hal tersebut membuat kerentanan ini makin mudah direproduksi oleh attacker pada target yang lebih luas. Wallarm, salah satu Principal API Security, memperingatkan bahwa kebanyakan Web Application Firewall (WAF) kesulitan untuk mendeteksi eksploitasi CVE ini. Beberapa alasannya sebagai berikut :

1. Legitimate-looking PUT Request, terlihat seperti PUT Request biasa dan tidak berbahaya.
2. Obfuscated Payload, eksploitasi menggunakan payload yang telah disamarkan.
3. Multi-step execution, pattern-based WAF akan sulit mendeteksinya.

1. Attacker mengirimkan PUT request (upload malicious session file) berisi payload yang telah disamarkan (base64-encoded serialized Java), yang disimpan pada session storage Apache Tomcat.
2. Sebuah GET request kemudian dikirim dengan cookie JSESSIONID mereferensikan malicious session file yang telah terupload sebelumnya. Hal ini akan membuat Apache Tomcat melakukan deserialisasi dan eksekusi malicious Java code, kemudian attacker akan mendapatkan shell server tersebut.

1. Segera lakukan update patch versi latest stable sesuai petunjuk pada referensi poin nomor 1.
2. Lakukan pengujian serangan mandiri dengan menggunakan exploit public CVE-2025-24813 sesuai pada referensi nomor 6.