ニュース
「Apache Tomcat」に致命的な脆弱性 ~無効な証明書が受け入れられる恐れ
v9 / v10 / v11などに影響、最新版への更新を
2026年7月1日 16:34
脆弱性対策情報ポータルサイト「JVN」は7月1日、「Apache Tomcat」に7件の脆弱性が存在することを明らかにした。v9 / v10 / v11系統に影響するほか、旧バージョンやサポート対象外のバージョンにも影響する可能性がある。
最も深刻な問題は「CVE-2026-53434」と「CVE-2026-55276」で、深刻度はCVSS 3.1のスコアで9.1(CRITICAL)と評価されている。「CVE-2026-53434」はFFMベースのコネクターの問題により無効な証明書が受け入れられる恐れがある。一方、「CVE-2026-55276」は制御フローの実装に問題があり、有効なweb.xmlがログに記録される際に、特別な役割や空の認証制約が含まれない。
各脆弱性のCVE番号とサポート継続中バージョンの影響範囲、CVSS 3.1の深刻度は以下の通り。
CVE-2026-55957:Authentication bypass with JNDIRealm and GSSAPI authenticated bind
- Apache Tomcat 11.0.0-M1~11.0.4
- Apache Tomcat 10.1.0-M1~10.1.36
- Apache Tomcat 9.0.0.M1~9.0.100
CVSS:3.1 :7.3(HIGH)
CVE-2026-55956:Security constraints for default servlet ignored method
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M1~10.1.55
- Apache Tomcat 9.0.0.M1~9.0.118
CVSS:3.1 :6.5(MEDIUM)
CVE-2026-55955:EncryptInterceptor not protected against replay attacks
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M1~10.1.55
- Apache Tomcat 9.0.13~9.0.118
CVSS:3.1 :6.5(MEDIUM)
CVE-2026-55276:Logged effective web.xml is incomplete
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M1~10.1.55
- Apache Tomcat 9.0.0.M1~9.0.118
CVSS:3.1 :9.1(CRITICAL)
CVE-2026-53434:Invalid CRL configuration doesn't trigger failure for FFM Connector
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M7~10.1.55
- Apache Tomcat 9.0.83~9.0.118
CVSS:3.1 :9.1(CRITICAL)
CVE-2026-53404:Bad ornext processing in RewriteValve
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M1~10.1.55
- Apache Tomcat 9.0.0.M1~9.0.118
CVSS:3.1 :7.3(HIGH)
CVE-2026-50229:XXS in number guess example
- Apache Tomcat 11.0.0-M1~11.0.22
- Apache Tomcat 10.1.0-M1~10.1.55
- Apache Tomcat 9.0.0.M1~9.0.118
CVSS:3.1 :6.1(MEDIUM)
これらの脆弱性は各系統の最新版で修正済み。できる限り早くアップデートを行うことをお勧めする。





















