Aggregator

3月12日，中关村金融科技产业发展联盟第二届三次会员大会暨2025大模型重塑金融格局论坛在京成功举办。本次大会以“大模型重塑金融格局”为主题，旨在响应时代对技术革新的迫切需求，邀请业内专家、政府相关部门领导及联盟全体会员单位出席会议。在会议表彰环节，梆梆安全以创新安全技术赋能金融科技生态建设，荣膺“2024年度优秀会员单位”。

中关村金融科技产业发展联盟在北京市科委、中关村管委会、北京市金融局、海淀区人民政府等单位指导下，以创新为动力，以技术为核心，以应用为导向，以产业为主线，打造中关村乃至全国金融科技产业服务中心，搭建金融科技产学研用合作平台，助推金融科技产业转型升级。联盟持续探究产业前沿技术、市场需求对接，发挥枢纽作用，已凝聚金融机构、金融科技企业、高校院所、第三方服务机构等金融科技产业主体，连接金融机构和国内外金融科技企业上下游资源。

此次荣获表彰是联盟对梆梆安全在金融科技领域助力安全发展的高度认可。作为移动安全领域的代表厂商，梆梆安全通过自主研发的移动应用全生命周期安全防护体系深度参与金融基础设施数字化转型、升级，为行业创新成果落地转化提供安全基座。

AI大模型引领行业创新的同时，也面临数据隐私、技术与业务融合、监管合规等挑战。梆梆安全在数字安全领域深耕十余载，基于快速变化的业务场景和金融行业的客户积累，已形成人脸识别绕过及屏幕共享的电信诈骗、API安全风险、个人信息保护监管通报、移动自生安全能力建设（含鸿蒙NEXT）等热点场景的移动安全解决方案，并通过安全+AI融合不断推进安全大模型在热点场景下的落地应用。截至目前，梆梆安全已与200余家银行客户建立长期、稳定、良好的合作关系。

多年技术能力积累，屡获业内权威认可。梆梆安全将充分发挥自身技术实力与业务优势，输出契合金融客户安全需求的安全产品和服务，持续把安全价值和能力向客户侧传递，为金融科技的高质量发展贡献安全力量。

漏洞概述

漏洞类型

远程代码执行

漏洞等级

高危

漏洞编号

CVE-2025-24813

漏洞评分

无

利用复杂度

中

影响版本

11.0.0-M1 至 11.0.2

10.1.0-M1 到 10.1.34

9.0.0.M1 到 9.0.98

利用方式

远程

POC/EXP

已公开

近日， Apache Tomcat 发布更新修复漏洞（CVE-2025-24813）。为避免您的业务受影响，建议您及时开展安全风险自查。

Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ，主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序，并提供了作为Web服务器的一些特有功能，如Tomcat管理和控制平台、安全局管理和Tomcat阀等。Apache Tomcat 是 Java Web 开发中不可或缺的工具，尤其适合需要快速部署、轻量级且灵活的 Web 应用场景。它的简单性和开源特性使其成为开发、测试和生产环境的首选服务器之一。

据描述，由于Apache Tomcat 的 Partial PUT的原始实现使用了一个临时文件，该文件基于用户提供的文件名和路径生成，其中路径中的分隔符被替换为点号“.”。攻击者可以精心构造恶意请求，查看服务器敏感文件或向文件写入恶意执行内容、任意代码执行等。如果以下所有条件均成立，恶意用户将能够执行远程代码执行（RCE）：

1、默认 Servlet 启用了写入功能（默认禁用）；

2、支持部分 PUT 请求（默认启用）；

3、应用程序使用了 Tomcat 的基于文件的会话持久化功能，并采用默认的存储位置；

4、应用程序中包含可能被用于反序列化攻击的库。

漏洞影响的产品和版本：

Apache Tomcat 11.0.0-M1 至 11.0.2

Apache Tomcat 10.1.0-M1 到 10.1.34

Apache Tomcat 9.0.0.M1 到 9.0.98

漏洞复现

资产测绘

据daydaymap数据显示互联网存在3,448,107 个资产，国内风险资产分布情况如下，主要分布在国内。

解决方案

1、临时缓解方案

①限制网络访，配置ip白名单，限制指定来源IP访问；

②部署针对 Apache Tomcat 平台安全监控系统，确保及时检测响应异常行为。

2、升级修复方案，官方已发布漏洞修复补丁

①升级到 Apache Tomcat 11.0.3 或更高版本；

②升级到 Apache Tomcat 10.1.35 或更高版本；

③升级到 Apache Tomcat 9.0.99 或更高版本。

参考链接

原文链接