独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月4日、Apache TomcatのJsonErrorReportValveにエスケープ処理不備の問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
Apache Tomcat 9.0.40から9.0.68までのバージョン
Apache Tomcat 8.5.83
Apache TomcatのJsonErrorReportValveクラスには、タイプ、メッセージあるいは説明の値をエスケープしない問題がある。
想定される影響としては、JsonErrorReportValveの出力のタイプ、メッセージあるいは説明の値は、ユーザが提供するデータから構築される場合があり、JSON出力を無効化されたり、操作されたりする可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
