「Apache Tomcat」に脆弱性 - 5月中旬の更新で修正済み
「Apache Tomcat」の開発チームは、5月中旬にリリースしたアップデートで脆弱性に対処したことを明らかにした。
大文字、小文字に対する不適切な取り扱いに起因する脆弱性「CVE-2025-46701」が明らかとなったもの。CGIサーブレットにおいて「pathInfo」で設定されたセキュリティによる制限をバイパスされるおそれがある。
大文字と小文字を区別しないファイルシステムで「Apache Tomcat」が稼働しており、CGIサーブレットを用いる環境が影響を受ける。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.3」、重要度を「高(High)」とレーティングした。
5月12日から13日にかけてリリースした「Apache Tomcat 11.0.7」「同10.1.41」「同9.0.105」にて同脆弱性を修正。5月29日に脆弱性を公表しており、利用者に注意を呼びかけている。
(Security NEXT - 2025/06/02 )
ツイート
関連リンク
PR
関連記事
「Cisco Meraki 」にDoS脆弱性 - SSL VPN処理で強制再起動
「IBM QRadar SIEM」に複数脆弱性 - 修正パッチをリリース
ゲームサーバ管理ツール「Pterodactyl Panel」に脆弱性 - 悪用の動きも
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
「GeoTools」にXXE脆弱性 - 「GeoServer」なども影響
「Roundcube」にアップデート - 前バージョンの不具合を解消
Trend Microの暗号化管理製品にRCEや認証回避など深刻な脆弱性
マルウェア対策ソフト「ClamAV」に深刻な脆弱性 - パッチが公開
脆弱性スキャナ「Nessus」のWindows版エージェントに複数脆弱性
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正