78 個問題
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(310.4, 53%, 40%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Windows Server 沒內建 Apache ,請檢查程式和功能,看看誰安裝的。
CVE-2025-24813 Open-source vulnerability flagged on Windows Server – Apache Tomcat presence unclear
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(144, 57.00000000000001%, 23%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ESX%3C/text%3E%3C/svg%3E)
Sean Xiu (EXT-Nokia)
0
信譽點數
您好 Microsoft 團隊,
我們是一家行動網路解決方案廠商,目前協助電信營運商客戶維運 Traffica 系統與 TNES 伺服器。近期資安部門進行弱點掃描,於數台 Windows Server 上標記出重大開源弱點(CVE-2025-24813),掃描結果指出可能存在 Apache Tomcat 元件。
目前情況與背景如下:
CVE 編號:CVE-2025-24813
影響說明:Apache Tomcat 存在目錄穿越與 RCE 漏洞,CVSS v3 評分達 9.8,屬「Critical」。
受影響範圍:
Tomcat 9.0.0.M1 ~ 9.0.98
Tomcat 10.1.0.M1 ~ 10.1.34
Tomcat 11.0.0-M1 ~ 11.0.2
修正版本為 9.0.99、10.1.35、11.0.3 以上
主機環境:
作業系統:Windows Server 2019 / 2016
安裝應用:Traffica / TNES(由 Nokia 提供,應用本身未明確標示 Apache 元件)
未發現 Tomcat 安裝目錄(如 C:\Program Files\Apache Software Foundation\Tomcat)
防火牆已封鎖外網,但允許內部維運通訊
已進行系統健康檢查與 Windows Update 修復作業
內部系統(如 Traffica Web Server)可能使用嵌入式 Web Component,但無法從表面上判斷其 Tomcat 版本
想請教以下問題:
若 Windows Server 上被掃出此弱點,但未明確安裝 Apache Tomcat,是否可能為嵌入式元件?
是否有建議指令或工具可掃描 Windows 上是否含嵌入式 Tomcat(例如 JAR 或 WAR 檔案內)?
若應用系統中含嵌入式 Tomcat,是否也需自行升級該模組?或應由原廠支援?
除了升級至 Tomcat 9.0.99 或更新版本,有無其他緩解方式?(如關閉 PUT、限制 Servlet 寫入權限等)