Apache Tomcat に複数の脆弱性 | ScanNetSecurity
2026.07.03(金)

Apache Tomcat に複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月8日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月8日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2025-31650
Apache Tomcat 11.0.0-M2から11.0.5まで
Apache Tomcat 10.1.10から10.1.39まで
Apache Tomcat 9.0.76から9.0.102まで

・CVE-2025-31651
Apache Tomcat 11.0.0-M1から11.0.5まで
Apache Tomcat 10.1.0-M1から10.1.39まで
Apache Tomcat 9.0.0.M1から9.0.102まで

 The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・不正なHTTP Priorityヘッダのエラー処理が不適切なため、クリーンアップが不完全となり、メモリリークが発生する(CVE-2025-31650)
→大量の細工されたリクエストを処理することによりOutOfMemoryExceptionが発生し、サービス運用妨害(DoS)状態を引き起こされる

・特定のリライトルール設定が、細工されたリクエストによってバイパスされる(CVE-2025-31651)
→問題となるリライトルール設定を使ってセキュリティ制約を実装している場合、セキュリティ制約をバイパスされる

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、本脆弱性は下記のバージョンで修正されている。

Apache Tomcat 11.0.6およびそれ以降
Apache Tomcat 10.1.40およびそれ以降
Apache Tomcat 9.0.104およびそれ以降

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop