Apache Tomcatの脆弱性(Important: CVE-2026-34486, Moderate: CVE-2026-34500, CVE-2026-32990, Low: CVE-2026-34487, CVE-2026-34483)

04/10/2026にApache Tomcatの脆弱性(Important: CVE-2026-34486, Moderate: CVE-2026-34500, CVE-2026-32990, Low: CVE-2026-34487, CVE-2026-34483)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

• Apache Tomcatの脆弱性(Moderate: CVE-2026-24734, Low: CVE-2026-24733)
• Apache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)
• Apache Tomcatの脆弱性(High: CVE-2025-48989, Moderate: CVE-2025-55668)
• Apache Tomcatの脆弱性(Important: CVE-2025-53506, Low: CVE-2025-52520)
• Apache TomcatとCommon Files Uploadの脆弱性(Important: CVE-2025-48976, CVE-2025-48988, Low: CVE-2025-49124, Medium: CVE-2025-49125)
• Apache Tomcatの脆弱性(Low: CVE-2025-46701)

CVSS/プライオリティ

• CVE-2026-34486
  • 影響するバージョン
    • 11.0.20 
    • 10.1.53 
    • 9.0.116 
  • Priority/CVSS SCORE
    • Vendor: Important
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-09
    • EPSS: Not Available
    • Percentile: Not Available
• CVE-2026-34500
  • 影響するバージョン
    • 11.0.0-M14 – 11.0.20 
    • 10.1.22 – 10.1.53 
    • 9.0.92 – 9.0.116 
  • Priority/CVSS SCORE
    • Vendor: Moderate
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-09
    • EPSS: Not Available
    • Percentile: Not Available
• CVE-2026-32990
  • 影響するバージョン
    • 11.0.15 – 11.0.19 
    • 10.1.50 – 10.1.52 
    • 9.0.113 – 9.0.115 
  • Priority/CVSS SCORE
    • Vendor: Moderate
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-09
    • EPSS: Not Available
    • Percentile: Not Available
• CVE-2026-34487
  • 影響するバージョン
    • 11.0.0-M1 – 11.0.20 
    • 10.1.0-M1 – 10.1.53 
    • 9.0.13 – 9.0.116 
  • Priority/CVSS SCORE
    • Vendor: Low
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-09
    • EPSS: 0.000340000
    • Percentile: 0.098100000
• CVE-2026-34483
  • 影響するバージョン
    • 11.0.0-M1 – 11.0.20 
    • 10.1.0-M1 – 10.1.53 
    • 9.0.40 – 9.0.116 
    • 8.5.84 – 8.5.100 
  • Priority/CVSS SCORE
    • Vendor: Low
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): Not disclosed
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-09
    • EPSS: Not Available
    • Percentile: Not Available

一次情報源

https://tomcat.apache.org/security-11.html

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://www.cve.org/CVERecord?id=CVE-2026-34486
  • CVE-2026-29146によりEncryptInterceptorを迂回出来る問題
  • CVE-2026-29146の修正がエラーを含んでおり、EncryptInterceptorを迂回することが可能になったという問題が見つかりました。
• https://www.cve.org/CVERecord?id=CVE-2026-34500
  • Apache Tomcat: OSCPがsoft-failが無効になっている場合でもFFMでsoft-failをチェックするという問題
  • soft failが無効になっていてFFMが使われている場合には、CLIENT_CERT認証が失敗しないケースがあります。
• https://www.cve.org/CVERecord?id=CVE-2026-32990
  • Apache Tomcat: CVE-2025-66614の修正が不完全だった問題
  • SNIネームとホスト名の検証で厳密なSNIチェックに迂回が存在しました。
• https://www.cve.org/CVERecord?id=CVE-2026-34487
  • クラスタリングコンポーネントでのクラウドメンバーシップでKubernetesのbarerトークンが露出する問題
  • クラスタリングコンポーネントでのクラウドメンバーシップにより、ログメッセージ内でKubernetesのbarerトークンが露出していました。
• https://www.cve.org/CVERecord?id=CVE-2026-34483
  • JSONアクセスログでの不完全なエスケープ処理
  • Connector属性であるrelaxedPathChars、またはrelaxedQueryCharsにデフォルト以外の値が使用された際、不完全なエスケープ処理により、JSONアクセスログに任意のJSONの注入が可能となっていました。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2026-34486
  • https://security-tracker.debian.org/tracker/CVE-2026-34500
  • https://security-tracker.debian.org/tracker/CVE-2026-32990
  • https://security-tracker.debian.org/tracker/CVE-2026-34487
  • https://security-tracker.debian.org/tracker/CVE-2026-34483
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2026-34486
  • https://access.redhat.com/security/cve/CVE-2026-34500
  • https://access.redhat.com/security/cve/CVE-2026-32990
  • https://access.redhat.com/security/cve/CVE-2026-34487
  • https://access.redhat.com/security/cve/CVE-2026-34483
• Ubuntu
  • https://ubuntu.com/security/CVE-2026-34486
  • https://ubuntu.com/security/CVE-2026-34500
  • https://ubuntu.com/security/CVE-2026-32990
  • https://ubuntu.com/security/CVE-2026-34487
  • https://ubuntu.com/security/CVE-2026-34483
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2026-34486.html
  • https://www.suse.com/security/cve/CVE-2026-34500.html
  • https://www.suse.com/security/cve/CVE-2026-32990.html
  • https://www.suse.com/security/cve/CVE-2026-34487.html
  • https://www.suse.com/security/cve/CVE-2026-34483.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://tomcat.apache.org/security-11.html