「Apache Tomcat」に脆弱性 ～リモートでコードを実行される恐れ

「Apache Tomcat」に脆弱性

　Apache Software Foundationは3月10日（米国時間）、「Apache Tomcat」に存在した脆弱性「CVE-2025-24813」を公表した。最悪の場合、リモートでコードを実行される恐れがあるという。

　脆弱性が存在するのは以下のバージョン。

• 11.0.0-M1～11.0.2
• 10.1.0-M1～10.1.34
• 9.0.0.M1～9.0.98

　Partial Putメソッドの実装に問題があり、特定の条件下でリモートでコードを実行されたり、セキュリティ上重要なファイルを表示やコンテンツを挿入される可能性がある。

　以下の条件をすべて満たした場合にリモートコード実行される可能性がある。

• デフォルトサーブレットの書き込みが有効（デフォルトで無効）
• partial PUTをサポート（デフォルトで有効）
• アプリケーションがデフォルトのストレージロケーションで「Apache Tomcat」のファイルベースのセッション永続性を使用している
• アプリケーションに、デシリアライゼーション攻撃に利用される可能性のあるライブラリが含まれている

　また、以下の条件を満たした場合は、セキュリティ上重要なファイルを表示やコンテンツを挿入される恐れがある。

• デフォルトサーブレットの書き込みが有効（デフォルトで無効）
• partial PUTをサポート（デフォルトで有効）
• セキュリティ上重要なアップロード対象のURLが、パブリックアップロード対象URLのサブディレクトリである
• 攻撃者がアップロードされるセキュリティ上重要なファイルの名前を知っている
• セキュリティ上重要なファイルがpartial PUTでアップロードされる

　本脆弱性は「Apache Tomcat」v9.0.99/v10.1.35/v11.0.3で修正済み。対象となるバージョンを運用している場合はすみやかにアップデートすることが推奨されている。