Apache Tomcat に複数の脆弱性 | ScanNetSecurity
2026.07.01(水)

Apache Tomcat に複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月14日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月14日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2025-52434
Apache Tomcat 9.0.0.M1から9.0.106まで

・CVE-2025-52520、CVE-2025-53506
Apache Tomcat 11.0.0-M1から11.0.8まで
Apache Tomcat 10.1.0-M1から10.1.42まで
Apache Tomcat 9.0.0.M1から9.0.106まで

 The Apache Software FoundationのApache Tomcatには、サービス運用妨害(DoS)状態にされる可能性がある複数の脆弱性が存在する。

・接続終了時の競合状態により、APR/Nativeコネクタ使用時にJVMがクラッシュする(CVE-2025-52434)

・特定の構成においてファイルアップロード時に整数オーバーフローが発生し、サイズ制限を回避される(CVE-2025-52520)

・HTTP/2クライアントが初期設定の最大ストリーム数を無視し、同時に多数のストリームを開こうとすることで、サーバーのリソースを枯渇させる(CVE-2025-53506)

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。本脆弱性は、下記のバージョンで修正されている。

Apache Tomcat 11.0.9およびそれ以降
Apache Tomcat 10.1.43およびそれ以降
Apache Tomcat 9.0.107およびそれ以降

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  2. 廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

    廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

  3. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

  4. 不正アクセス障害対応費3,034万円に対し保険金3,540万円を受給 特別利益計上

    不正アクセス障害対応費3,034万円に対し保険金3,540万円を受給 特別利益計上

  5. セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

    セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

ランキングをもっと見る
PageTop