複数の Apache 製品にサービス運用妨害（DoS）の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月26日、複数のApache製品におけるサービス運用妨害（DoS）の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。NTTデータグループ TERASOLUNA Framework セキュリティチームが報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2025-48976
Apache Commons FileUpload 1.0から1.6より前
Apache Commons FileUpload 2.0.0-M1から2.0.0-M4より前

・CVE-2025-48988
※TomcatはCommons FileUploadのフォークを含むため、下記のバージョンではCVE-2025-48976の影響も受ける。
Apache Tomcat 11.0.0-M1から11.0.7まで
Apache Tomcat 10.1.0-M1から10.1.41まで
Apache Tomcat 9.0.0.M1から9.0.105まで

　The Apache Software Foundationが提供する複数のApache製品には、制限または調整なしのリソースの割り当て（CVE-2025-48976、CVE-2025-48988）の脆弱性が存在する。

　想定される影響としては、制限が不十分なマルチパートヘッダーへのリソースの割り当てによってサービス運用妨害（DoS）状態となる（CVE-2025-48976）、制限あるいは調整のないリソースの割り当てによってサービス運用妨害（DoS）状態となる（CVE-2025-48988）といった影響を受ける可能性がある。

　JVNでは、開発者が提供する情報をもとに下記のバージョンへアップデートするよう呼びかけている。

・CVE-2025-48976
Apache Commons FileUpload 1.6およびそれ以降
Apache Commons FileUpload 2.0.0-M4およびそれ以降

・CVE-2025-48988
Apache Tomcat 11.0.8およびそれ以降
Apache Tomcat 10.1.42およびそれ以降
Apache Tomcat 9.0.106およびそれ以降

元の記事を読む