独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月29日、Apache Tomcatにおける複数の脆弱性(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。


・CVE-2025-55752
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.M11から9.0.108まで

・CVE-2025-55754
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.40から9.0.108まで

・CVE-2025-61795
Apache Tomcat 11.0.0-M1から11.0.11まで
Apache Tomcat 10.1.0-M1から10.1.46まで
Apache Tomcat 9.0.0.M1から9.0.109まで
※ EOLとなっている古いバージョンも脆弱性の影響を受ける

 The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・クエリパラメータをURLに書き換えるリライトルールを設定している環境において、攻撃者がリクエストURIを操作できる(CVE-2025-55752)
→/WEB-INF/や/META-INF/ディレクトリを含めた、セキュリティ制約を回避され、PUTリクエストを有効にしている場合は、悪意のあるファイルをアップロードされ、リモートコードの実行につながる

・Tomcatのログメッセージ内でANSIエスケープ・シーケンスを適切にエスケープ処理しておらず、Windowsのコンソール上で不正な操作が行われる(CVE-2025-55754)
→特別に細工されたURLによるアクセスでANSIエスケープシーケンスをログに注入され、コンソールやクリップボードを不正に操作される

・マルチパートアップロード処理中にエラーが発生した場合、一時コピーが即時に削除されずに残ってしまい、ディスクリソースを圧迫する(CVE-2025-61795)
→サービス運用妨害(DoS)状態を引き起こされる

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、下記バージョンで修正されている。

・CVE-2025-55752、CVE-2025-55754
Apache Tomcat 11.0.11およびそれ以降
Apache Tomcat 10.1.45およびそれ以降
Apache Tomcat 9.0.109およびそれ以降

・CVE-2025-61795
Apache Tomcat 11.0.12およびそれ以降
Apache Tomcat 10.1.47およびそれ以降
Apache Tomcat 9.0.110およびそれ以降

元の記事を読む

編集部おすすめ