独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月29日、Apache Tomcatにおける複数の脆弱性(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795)について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2025-55752
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.M11から9.0.108まで
・CVE-2025-55754
Apache Tomcat 11.0.0-M1から11.0.10まで
Apache Tomcat 10.1.0-M1から10.1.44まで
Apache Tomcat 9.0.0.40から9.0.108まで
・CVE-2025-61795
Apache Tomcat 11.0.0-M1から11.0.11まで
Apache Tomcat 10.1.0-M1から10.1.46まで
Apache Tomcat 9.0.0.M1から9.0.109まで
※ EOLとなっている古いバージョンも脆弱性の影響を受ける
The Apache Software Foundationが提供するApache Tomcatには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・クエリパラメータをURLに書き換えるリライトルールを設定している環境において、攻撃者がリクエストURIを操作できる(CVE-2025-55752)
→/WEB-INF/や/META-INF/ディレクトリを含めた、セキュリティ制約を回避され、PUTリクエストを有効にしている場合は、悪意のあるファイルをアップロードされ、リモートコードの実行につながる
・Tomcatのログメッセージ内でANSIエスケープ・シーケンスを適切にエスケープ処理しておらず、Windowsのコンソール上で不正な操作が行われる(CVE-2025-55754)
→特別に細工されたURLによるアクセスでANSIエスケープシーケンスをログに注入され、コンソールやクリップボードを不正に操作される
・マルチパートアップロード処理中にエラーが発生した場合、一時コピーが即時に削除されずに残ってしまい、ディスクリソースを圧迫する(CVE-2025-61795)
→サービス運用妨害(DoS)状態を引き起こされる
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、下記バージョンで修正されている。
・CVE-2025-55752、CVE-2025-55754
Apache Tomcat 11.0.11およびそれ以降
Apache Tomcat 10.1.45およびそれ以降
Apache Tomcat 9.0.109およびそれ以降
・CVE-2025-61795
Apache Tomcat 11.0.12およびそれ以降
Apache Tomcat 10.1.47およびそれ以降
Apache Tomcat 9.0.110およびそれ以降
