Apache Tomcat^®

このページでは、Apache Tomcat^® 11.x のリリースバージョンで修正されたすべてのセキュリティ脆弱性を一覧表示します。 各脆弱性には、Apache Tomcat セキュリティチームによるセキュリティ影響評価が与えられています。この評価はプラットフォームによって異なる可能性があることに注意してください。 また、この脆弱性の影響を受けることが確認されている Apache Tomcat のバージョンと、脆弱性が確認されていない場合は、バージョンを疑問符付きでリストします。

注: Tomcat の脆弱性ではないものの、Tomcat に対して誤って報告されたり、Tomcat が回避策を提供するような脆弱性は、このページの最後に記載されています。

バイナリパッチは決して提供されないことに注意してください。ソースコードパッチを適用する必要がある場合は、使用している Apache Tomcat バージョンのビルド手順を使用してください。 Tomcat 11.0.x の場合、それらはbuilding.htmlとBUILDING.txtです。 両方のファイルは、バイナリディストリビューションのwebapps/docsサブディレクトリにあります。 ドキュメントのセキュリティに関する考慮事項ページも確認することをお勧めします。

Tomcat の構築、設定、またはここにリストされている既知の脆弱性を軽減するための指示に従うことについて支援が必要な場合は、公開されているTomcat ユーザーメーリングリストに質問を送信してください。

リストされていないセキュリティ脆弱性、またはセキュリティに影響を与える予期しない動作が発生した場合、またはここの説明が不完全な場合は、Tomcat セキュリティチームに非公開で報告してください。 ありがとうございます。

• Apache Tomcat 11.0.8 で修正
• Apache Tomcat 11.0.7 で修正
• Apache Tomcat 11.0.6 で修正
• Apache Tomcat 11.0.3 で修正
• Apache Tomcat 11.0.2 で修正
• Apache Tomcat 11.0.1 で修正
• Apache Tomcat 11.0.0 で修正
• Apache Tomcat 11.0.0-M21 で修正
• Apache Tomcat 11.0.0-M17 で修正
• Apache Tomcat 11.0.0-M12 で修正
• Apache Tomcat 11.0.0-M11 で修正
• Apache Tomcat 11.0.0-M6 で修正
• Apache Tomcat 11.0.0-M5 で修正
• Apache Tomcat 11.0.0-M3 で修正

中程度: PreResources および PostResources のセキュリティ制約のバイパス CVE-2025-49125

PreResources または PostResources を、Web アプリケーションのルート以外の場所にマウントして使用する場合、予期しないパスを介してこれらのリソースにアクセスできる可能性がありました。 そのパスは、予期されるパスと同じセキュリティ制約で保護されていない可能性が高く、それらのセキュリティ制約がバイパスされる可能性がありました。

これは、コミットd94bd36fで修正されました。

この問題は、2025 年 6 月 16 日に公開されました。

影響: 11.0.0-M1 から 11.0.7

低: Windows 用 Tomcat インストーラーを介したサイドローディング CVE-2025-49124

インストール中に、Windows 用 Tomcat インストーラーは、完全なパスを指定せずに icacls.exe を使用していました。 これにより、サイドローディングの脆弱性が生じました。

これは、コミットc56456cdで修正されました。

この問題は、2025 年 6 月 16 日に公開されました。

影響: 11.0.0-M1 から 11.0.7

重要: マルチパート アップロードでの DoS CVE-2025-48988

Tomcat は、マルチパートリクエストのリクエストパラメータとパーツの両方に同じ制限を使用していました。 アップロードされたパーツには保持する必要があるヘッダーも含まれているため、マルチパートリクエストを処理すると、より多くのメモリ使用量が発生する可能性があります。 多数のパーツを使用した特別に作成されたリクエストは、過剰なメモリ使用量につながり、DoS を引き起こす可能性があります。 パーツの最大数は、Connector で構成可能 (maxPartCount) になり、デフォルトは 10 パーツです。

これは、コミット2b0ab14fで修正されました。

この問題は、2025 年 6 月 16 日に公開されました。

影響: 11.0.0-M1 から 11.0.7

重要: Commons FileUpload での DoS CVE-2025-48976

Apache Commons FileUpload は、マルチパートリクエストに関連付けられたヘッダーのサイズに 10kB のハードコードされた制限を提供していました。 大量のヘッダーを持つ多数のパーツを使用した特別に作成されたリクエストは、過剰なメモリ使用量につながり、DoS を引き起こす可能性があります。 この制限は、Connector で構成可能 (maxPartHeaderSize) になり、デフォルトは 512 バイトです。

これは、コミット74f69ffaで修正されました。

この問題は、2025 年 6 月 16 日に公開されました。

影響: 11.0.0-M1 から 11.0.7

低: CGI セキュリティ制約のバイパス CVE-2025-46701

URL の pathInfo コンポーネントに対してセキュリティ制約が構成された、大文字と小文字を区別しないファイルシステム上で CGI サーブレットにマッピングされている場合、特別に作成された URL でこれらのセキュリティ制約をバイパスできる可能性がありました。

これは、コミットfab7247dおよび0f01966eで修正されました。

この問題は、2025 年 5 月 29 日に公開されました。

影響: 11.0.0-M1 から 11.0.6

低: 書き換えルール バイパス CVE-2025-31651

ありそうもない書き換えルール構成のサブセットについて、特別に細工されたリクエストによって一部の書き換えルールをバイパスできる可能性がありました。 これらの書き換えルールがセキュリティ制約を効果的に適用した場合、これらの制約がバイパスされる可能性がありました。

これは、コミットfbecc915で修正されました。

この問題は、2025 年 4 月 28 日に公開されました。

影響: 11.0.0-M1 から 11.0.5

重要: 無効な HTTP priority ヘッダーによるサービス拒否 CVE-2025-31650

一部の無効な HTTP priority ヘッダーに対する誤ったエラー処理により、失敗したリクエストの不完全なクリーンアップが発生し、メモリリークが発生しました。 このようなリクエストが多数あると、OutOfMemoryException がトリガーされ、サービス拒否が発生する可能性があります。

これは、コミット75554da2、f619e6a0、ded0285bで修正されました。

この問題は、2025 年 4 月 28 日に公開されました。

影響: 11.0.0-M2 から 11.0.5

重要: 書き込み可能な Default サーブレット経由でのリモートコード実行および/または情報漏えいおよび/またはアップロードされたファイルへの悪意のあるコンテンツの追加 - CVE-2025-24813

部分 PUT の元の実装では、パス区切り文字が「.」に置き換えられた、ユーザーが提供したファイル名とパスに基づいて一時ファイルを使用していました。

次のすべてが true の場合、悪意のあるユーザーは、セキュリティ上機密性の高いファイルを表示したり、これらのファイルにコンテンツを挿入したりできました。

• default サーブレットに対して書き込みが有効 (デフォルトでは無効)
• 部分 PUT のサポート (デフォルトで有効)
• セキュリティ上機密性の高いアップロードのターゲット URL は、パブリックアップロードのターゲット URL のサブディレクトリ
• アップロードされるセキュリティ上機密性の高いファイルの名前に関する攻撃者の知識
• セキュリティ上機密性の高いファイルも部分 PUT 経由でアップロードされる

次のすべてが true の場合、悪意のあるユーザーはリモートコード実行を実行できました。

• default サーブレットに対して書き込みが有効 (デフォルトでは無効)
• 部分 PUT のサポート (デフォルトで有効)
• アプリケーションがデフォルトのストレージ場所で Tomcat のファイルベースのセッション永続化を使用していた
• アプリケーションには、デシリアライゼーション攻撃に利用される可能性のあるライブラリが含まれていた

これは、コミット0a668e0cで修正されました。

この問題は、2025 年 3 月 10 日に公開されました。

影響: 11.0.0-M1 から 11.0.2

重要: 書き込み可能な Default サーブレット経由でのリモートコード実行。 CVE-2024-50379 の緩和が不完全でした - CVE-2024-56337

CVE-2024-50379の以前の軽減策は不完全でした。 11.0.2 以降にアップグレードすることに加えて、default サーブレットの書き込みが有効になっている大文字と小文字を区別しないファイルシステムで Tomcat を実行しているユーザーは、使用している Java のバージョンに応じて追加の構成が必要になる場合があります。

• Java 17 で実行する場合: システムプロパティ sun.io.useCanonCaches を設定する場合は、false に設定する必要があります (デフォルトは false です)。
• Java 21 以降で実行する場合: 追加の構成は必要ありません (システムプロパティと問題のあるキャッシュは削除されました)。

この問題は、2024 年 12 月 20 日に公開されました。

影響: 11.0.0-M1 から 11.0.1

低: examples Web アプリケーションでの DoS CVE-2024-54677

examples Web アプリケーションの多数の例で、アップロードされたデータに制限が設けられておらず、OutOfMemoryError がトリガーされてサービス拒否が発生する可能性がありました。

これは、コミット4f023660、c0a23927、b1f65728、a95bf2b0、4a335c6d、72281466、cb170768で修正されました。

この問題は、2024 年 12 月 17 日に公開されました。

影響: 11.0.0-M1 から 11.0.1

重要: 書き込み可能な Default サーブレット経由でのリモートコード実行 CVE-2024-50379

default サーブレットの書き込みが有効になっている場合 (readonly 初期化パラメータがデフォルト値の false 以外に設定されている場合)、大文字と小文字を区別しないファイルシステムの場合、同じファイルの同時読み取りとアップロードは、Tomcat の大文字と小文字の区別チェックをバイパスし、アップロードされたファイルが JSP として扱われ、リモートコード実行につながる可能性があります。

これは、コミットcc7a98b5および684247aeで修正されました。

この問題は、2024 年 12 月 17 日に公開されました。

影響: 11.0.0-M1 から 11.0.1

重要: 生成された JSP の XSS CVE-2024-52318

改善69333の修正により、プールされた JSP タグが使用後に解放されなくなり、一部のタグの出力が予期されるようにエスケープされなくなる可能性があります。 このエスケープされていない出力は、XSS につながる可能性があります。

これは、コミット8d1fc473で修正されました。

この問題は、2024 年 11 月 18 日に公開されました。

影響: 11.0.0

重要: リクエストおよび/またはレスポンスの混同 CVE-2024-52317

HTTP/2 リクエストで使用されるリクエストとレスポンスの誤ったリサイクルにより、ユーザー間でリクエストおよび/またはレスポンスが混同される可能性がありました。

これは、コミット9e840ccaで修正されました。

この問題は、2024 年 10 月 1 日に Tomcat セキュリティチームによって特定されました。 この問題は、2024 年 11 月 18 日に公開されました。

影響: 11.0.0-M23 から 11.0.0-M26

低: 認証バイパス CVE-2024-52316

Tomcat がカスタムの Jakarta Authentication (以前は JASPIC) ServerAuthContext コンポーネントを使用するように構成されていて、認証プロセス中に HTTP ステータスを明示的に設定せずに例外をスローする場合、認証が失敗しない可能性があり、ユーザーが認証プロセスをバイパスできる可能性があります。 このように動作する Jakarta Authentication コンポーネントは知られていません。

これは、コミット6d097a66で修正されました。

この問題は、2024 年 9 月 19 日に Tomcat セキュリティチームによって特定されました。 この問題は、2024 年 11 月 18 日に公開されました。

影響: 11.0.0-M1 から 11.0.0-M26

重要: サービス拒否 CVE-2024-34750

HTTP/2 ストリームを処理する場合、Tomcat は過剰な HTTP ヘッダーの一部のケースを正しく処理しませんでした。 これにより、アクティブな HTTP/2 ストリームの誤ったカウントが発生し、その結果、閉じる必要があった接続を開いたままにする誤った無限タイムアウトが使用されました。

これは、コミット2344a4c0で修正されました。

この問題は、2024 年 5 月 4 日に Tomcat セキュリティチームに報告されました。 この問題は、2024 年 7 月 3 日に公開されました。

影響: 11.0.0-M1 から 11.0.0-M20

重要: サービス拒否 CVE-2024-38286

Tomcat は、プラットフォーム上の特定の構成で、攻撃者が TLS ハンドシェイクプロセスを悪用して OutOfMemoryError を発生させることを許可します。

これは、コミット31978626で修正されました。

この問題は、2024 年 6 月 4 日に Tomcat セキュリティチームに報告されました。 この問題は、2024 年 9 月 23 日に公開されました。

影響: 11.0.0-M1 から 11.0.0-M20

重要: サービス拒否 CVE-2024-23672

WebSocket クライアントが WebSocket 接続を開いたままにして、リソース消費量の増加につながる可能性がありました。

これは、コミットb0e3b1bdで修正されました。

この問題は、2024 年 1 月 17 日に Tomcat セキュリティチームによって特定されました。 この問題は、2024 年 3 月 13 日に公開されました。

影響: 11.0.0-M1 から 11.0.0-M16

重要: サービス拒否 CVE-2024-24549

HTTP/2 リクエストを処理する場合、リクエストがヘッダーの構成済み制限を超えた場合、関連付けられた HTTP/2 ストリームは、すべてのヘッダーが処理されるまでリセットされませんでした。

これは、コミット810f49d5で修正されました。

この問題は、2024 年 1 月 24 日に Tomcat セキュリティチームに報告されました。 この問題は、2024 年 3 月 13 日に公開されました。

影響: 11.0.0-M1 から 11.0.0-M16

重要: リクエストスマグリング CVE-2023-45648

Tomcat は HTTP トレーラーヘッダーを正しく解析しませんでした。特別に細工された無効なトレーラーヘッダーにより、Tomcat が単一のリクエストを複数のリクエストとして扱う可能性があり、リバースプロキシの背後にある場合にリクエストスマグリングにつながる可能性がありました。

これはコミット eb5c094e6 で修正されました。

この問題は、2023 年 9 月 12 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 10 月 10 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M11

重要: サービス拒否 (DoS) CVE-2023-44487

Tomcat の HTTP/2 実装は、ラピッドリセット攻撃に対して脆弱でした。サービス拒否は通常、OutOfMemoryError として現れました。

これはコミット 9cdfe25b で修正されました。

この問題は、2023 年 9 月 14 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 10 月 10 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M11

重要: 情報漏洩 CVE-2023-42795

次のリクエスト/レスポンスで再利用する前に、リクエストやレスポンスを含むさまざまな内部オブジェクトを再利用する際、エラーが発生すると、Tomcat は再利用プロセスの一部をスキップし、現在のリクエスト/レスポンスから次のリクエスト/レスポンスに情報が漏洩する可能性がありました。

これはコミット d6db22e4 で修正されました。

この問題は、2023 年 9 月 13 日に Tomcat セキュリティチームによって特定されました。この問題は 2023 年 10 月 10 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M11

中程度: オープンリダイレクト CVE-2023-41080

ROOT (デフォルト) Web アプリケーションが FORM 認証を使用するように構成されている場合、特別に細工された URL を使用して、攻撃者が選択した URL にリダイレクトさせられる可能性があります。

これはコミット e3703c9a で修正されました。

この問題は、2023 年 8 月 17 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 8 月 22 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M10

重要: リクエストスマグリング CVE-2023-46589

Tomcat は HTTP トレーラーヘッダーを正しく解析しませんでした。ヘッダーサイズ制限を超える特別に細工されたトレーラーヘッダーにより、Tomcat が単一のリクエストを複数のリクエストとして扱う可能性があり、リバースプロキシの背後にある場合にリクエストスマグリングにつながる可能性がありました。

これはコミット 6f181e10 で修正されました。

この問題は、2023 年 10 月 20 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 11 月 28 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M10

重要: 情報漏洩 CVE-2023-34981

バグ 66512 の修正により、バグ 66591 として修正されたリグレッションが発生しました。このリグレッションは、レスポンスに HTTP ヘッダーが設定されていない場合、AJP SEND_HEADERS メッセージが送信されないことを意味し、少なくとも 1 つの AJP ベースのプロキシ (mod_proxy_ajp) が現在のリクエストに以前のリクエストからのレスポンスヘッダーを使用し、情報漏洩につながることを意味しました。

これはコミット 739c7381 で修正されました。

この問題は、2023 年 5 月 24 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 6 月 21 日に公開されました。

影響を受けるバージョン: 11.0.0-M5

中程度: Apache Tomcat サービス拒否 (DoS) CVE-2023-28709

CVE-2023-24998 の修正は不完全でした。クエリ文字列パラメータを使用して maxParameterCount に到達できるようなデフォルト以外の HTTP コネクタ設定が使用されており、クエリ文字列に正確に maxParameterCount 個のパラメータを提供するリクエストが送信された場合、アップロードされたリクエストパーツの制限がバイパスされ、サービス拒否 (DoS) が発生する可能性がありました。

これはコミット d53d8e7f で修正されました。

この問題は、2023 年 3 月 13 日に Tomcat セキュリティチームに報告されました。この問題は 2023 年 5 月 22 日に公開されました。

影響を受けるバージョン: 11.0.0-M2 から 11.0.0-M4

重要: Apache Tomcat 情報漏洩 CVE-2023-28708

X-Forwarded-Proto ヘッダーが https に設定された HTTP 経由でリバースプロキシから受信したリクエストで RemoteIpFilter を使用する場合、Tomcat によって作成されたセッションクッキーにはセキュア属性が含まれていませんでした。これにより、ユーザーエージェントがセキュアでないチャネルを介してセッションクッキーを送信する可能性がありました。

これはコミット c64d496d で修正されました。

66471 は 2023 年 2 月 8 日に公開されました。セキュリティ上の影響は、2023 年 2 月 9 日に Tomcat セキュリティチームによって特定されました。この問題は 2023 年 3 月 22 日に公開されました。

影響を受けるバージョン: 11.0.0-M1 から 11.0.0-M2

注: 下記の問題は Apache Tomcat 11.0.0-M2 で修正されましたが、11.0.0-M2 リリース候補のリリース投票は承認されませんでした。したがって、これらの問題の修正を含むバージョンを入手するには、ユーザーは 11.0.0-M3 をダウンロードする必要がありますが、バージョン 11.0.0-M2 は影響を受けるバージョンのリストには含まれていません。

重要: Apache Tomcat サービス拒否 (DoS) CVE-2023-24998

Apache Tomcat は、Jakarta Servlet 仕様で定義されているファイルアップロード機能を提供するために、パッケージ化された名前変更された Apache Commons FileUpload のコピーを使用しています。したがって、Apache Tomcat は、処理されるリクエストパーツの数に制限がなかったため、Apache Commons FileUpload の脆弱性 CVE-2023-24998 に対しても脆弱でした。これにより、攻撃者が悪意のあるアップロードまたは一連のアップロードで DoS をトリガーする可能性がありました。

これはコミット 063e2e81 で修正されました。

この問題は、2022 年 12 月 11 日に Apache Tomcat セキュリティチームに報告されました。この問題は 2023 年 2 月 20 日に公開されました。

影響を受けるバージョン: 11.0.0-M1