「Apache Tomcat」にRCEや情報漏洩のおそれ - 2月の更新で修正済み
「Apache Tomcat」の開発チームは、先のアップデートで脆弱性「CVE-2025-24813」を解消していたことを明らかにした。
開発チームでは、現地時間2025年3月10日にアドバイザリをリリースし、HTTPの「PUTメソッド」によりファイルの一部のみを更新する「partial PUT」の処理における脆弱性「CVE-2025-24813」について明らかにしたもの。
テンポラリファイルを作成する処理に問題があり、特定の条件下で信頼できないデータのデシリアライズや競合状態によって機密ファイルの漏洩や改ざんが可能となるほか、リモートからのコードを実行されるおそれがある。
開発チームは、同脆弱性の重要度を4段階中、2番目に高い「重要(Important)」と評価。現地時間2月10日にリリースした「Apache Tomcat 11.0.3」「同10.1.35」「同9.0.99」で同脆弱性を修正済みとしている。
また3月に入り、「CVE-2024-56337」への露出と保護のチェック機能を改善した最新版「Apache Tomcat 11.0.5」「同10.1.39」「同9.0.102」をリリースしている。
(Security NEXT - 2025/03/11 )
ツイート
PR
関連記事
ブラウザ「Chrome」にゼロデイ脆弱性 - 悪用を確認
ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
Google、「Chrome 145」をリリース - 複数脆弱性を修正
Apple、「macOS」向けにセキュリティアップデートを公開
「iOS/iPadOS 26.3」を公開 - ゼロデイ含む複数脆弱性を解消
「Apache Druid」に認証回避の深刻な脆弱性 - アップデート実施を
管理基盤「JetBrains Hub」に認証回避の深刻な脆弱性
