Apache Tomcat存在CVE-2017-12615高危漏洞,因启用HTTP PUT方法且运行于Windows主机时,攻击者可构造恶意请求绕过安全检查,上传JSP webshell文件,进而执行任意代码获取服务器权限。复现时需通过斜杠、空格或NTFS数据流绕过DefaultServlet的只读限制,成功写入恶意JSP后连接即可控制服务器。修复方案包括升级至安全版本、恢复web.xml中DefaultServlet的readonly默认值为true、禁用PUT方法或部署WAF防护,同时遵循最小权限原则降低风险。