Apache Tomcat 是美国阿帕奇（Apache）基金会的一款轻量级 Web 应用服务器，partial PUT 是其中用于文件分块上传的功能。

当应用程序启用了 servlet 的写入功能（默认关闭）、使用了 Tomcat 文件会话持久机制和默认存储位置且包含反序列化利用库时，未经身份验证的攻击者可执行任意代码获取服务器权限。

漏洞编号

影响范围

受影响版本：

11.0.0-M1<=Apache Tomcat<=11.0.2

10.1.0-M1<=Apache Tomcat<=10.1.34

不受影响版本：

Apache Tomcat>=11.0.3

Apache Tomcat>=10.1.35

Apache Tomcat>=9.0.99

防范措施

官方升级：

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

临时防护措施：

若相关用户暂时无法进行升级操作，也可使用下列措施进行临时缓解：

1）在不影响业务的前提下，相关用户可将 conf/web.xml文件中的 readonly 参数设置为 true 或进行注释。

2）禁用 PUT 方法并重启 Tomcat 服务使配置生效。

3）将 org.apache.catalina.session.PersistentManager设置为 false；若需启用文件会话持久化，可配置context.xml修改默认的会话存储位置。