Apache Tomcatに保護されていない認証情報の送信の脆弱性 | ScanNetSecurity
2026.07.05(日)

Apache Tomcatに保護されていない認証情報の送信の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月23日、Apache Tomcatにおける保護されていない認証情報の送信の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月23日、Apache Tomcatにおける保護されていない認証情報の送信の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Apache Tomcat 11.0.0-M1から11.0.0-M2までのバージョン
Apache Tomcat 10.1.0-M1から10.1.5までのバージョン
Apache Tomcat 9.0.0-M1から9.0.71までのバージョン
Apache Tomcat 8.5.0から8.5.85までのバージョン

 Apache Tomcatには、httpsが設定されたX-Forwarded-Protoヘッダを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題(CVE-2023-28708)が存在し、ユーザエージェントが安全でないチャネルでセッションCookieを送信する可能性がある。

 想定される影響としては、遠隔の第三者によってセッションCookie情報が取得される可能性がある。

 開発者は本脆弱性を下記のバージョンで修正しており、JVNでは開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

Apache Tomcat 11.0.0-M3およびそれ以降のバージョン
Apache Tomcat 10.1.6およびそれ以降のバージョン
Apache Tomcat 9.0.72およびそれ以降のバージョン
Apache Tomcat 8.5.86およびそれ以降のバージョン

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. 日本製鉄ホームページで不審な認証画面

    日本製鉄ホームページで不審な認証画面

ランキングをもっと見る
PageTop