ニュース

「Apache Tomcat」に致命的な脆弱性 ~無効な証明書が受け入れられる恐れ

v9 / v10 / v11などに影響、最新版への更新を

「Apache Tomcat」に致命的な脆弱性

 脆弱性対策情報ポータルサイト「JVN」は7月1日、「Apache Tomcat」に7件の脆弱性が存在することを明らかにした。v9 / v10 / v11系統に影響するほか、旧バージョンやサポート対象外のバージョンにも影響する可能性がある。

 最も深刻な問題は「CVE-2026-53434」と「CVE-2026-55276」で、深刻度はCVSS 3.1のスコアで9.1(CRITICAL)と評価されている。「CVE-2026-53434」はFFMベースのコネクターの問題により無効な証明書が受け入れられる恐れがある。一方、「CVE-2026-55276」は制御フローの実装に問題があり、有効なweb.xmlがログに記録される際に、特別な役割や空の認証制約が含まれない。

 各脆弱性のCVE番号とサポート継続中バージョンの影響範囲、CVSS 3.1の深刻度は以下の通り。

CVE-2026-55957:Authentication bypass with JNDIRealm and GSSAPI authenticated bind

  • Apache Tomcat 11.0.0-M1~11.0.4
  • Apache Tomcat 10.1.0-M1~10.1.36
  • Apache Tomcat 9.0.0.M1~9.0.100

CVSS:3.1 :7.3(HIGH)

CVE-2026-55956:Security constraints for default servlet ignored method

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M1~10.1.55
  • Apache Tomcat 9.0.0.M1~9.0.118

CVSS:3.1 :6.5(MEDIUM)

CVE-2026-55955:EncryptInterceptor not protected against replay attacks

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M1~10.1.55
  • Apache Tomcat 9.0.13~9.0.118

CVSS:3.1 :6.5(MEDIUM)

CVE-2026-55276:Logged effective web.xml is incomplete

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M1~10.1.55
  • Apache Tomcat 9.0.0.M1~9.0.118

CVSS:3.1 :9.1(CRITICAL)

CVE-2026-53434:Invalid CRL configuration doesn't trigger failure for FFM Connector

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M7~10.1.55
  • Apache Tomcat 9.0.83~9.0.118

CVSS:3.1 :9.1(CRITICAL)

CVE-2026-53404:Bad ornext processing in RewriteValve

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M1~10.1.55
  • Apache Tomcat 9.0.0.M1~9.0.118

CVSS:3.1 :7.3(HIGH)

CVE-2026-50229:XXS in number guess example

  • Apache Tomcat 11.0.0-M1~11.0.22
  • Apache Tomcat 10.1.0-M1~10.1.55
  • Apache Tomcat 9.0.0.M1~9.0.118

CVSS:3.1 :6.1(MEDIUM)

 これらの脆弱性は各系統の最新版で修正済み。できる限り早くアップデートを行うことをお勧めする。