Apache Tomcat に複数の脆弱性 | ScanNetSecurity
2026.07.03(金)

Apache Tomcat に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月29日、Apache Tomcatにおける複数の脆弱性(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月29日、Apache Tomcatにおける複数の脆弱性(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2025-55752
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.M11から9.0.108まで

・CVE-2025-55754
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.40から9.0.108まで

・CVE-2025-61795
Apache Tomcat 11.0.0-M1から11.0.11まで
Apache Tomcat 10.1.0-M1から10.1.46まで
Apache Tomcat 9.0.0.M1から9.0.109まで
※ EOLとなっている古いバージョンも脆弱性の影響を受ける

 The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・クエリパラメータをURLに書き換えるリライトルールを設定している環境において、攻撃者がリクエストURIを操作できる(CVE-2025-55752)
→/WEB-INF/や/META-INF/ディレクトリを含めた、セキュリティ制約を回避され、PUTリクエストを有効にしている場合は、悪意のあるファイルをアップロードされ、リモートコードの実行につながる

・Tomcatのログメッセージ内でANSIエスケープ・シーケンスを適切にエスケープ処理しておらず、Windowsのコンソール上で不正な操作が行われる(CVE-2025-55754)
→特別に細工されたURLによるアクセスでANSIエスケープシーケンスをログに注入され、コンソールやクリップボードを不正に操作される

・マルチパートアップロード処理中にエラーが発生した場合、一時コピーが即時に削除されずに残ってしまい、ディスクリソースを圧迫する(CVE-2025-61795)
→サービス運用妨害(DoS)状態を引き起こされる

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、下記バージョンで修正されている。

・CVE-2025-55752、CVE-2025-55754
Apache Tomcat 11.0.11およびそれ以降
Apache Tomcat 10.1.45およびそれ以降
Apache Tomcat 9.0.109およびそれ以降

・CVE-2025-61795
Apache Tomcat 11.0.12およびそれ以降
Apache Tomcat 10.1.47およびそれ以降
Apache Tomcat 9.0.110およびそれ以降

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

ランキングをもっと見る
PageTop