Apache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)

2025.10.28

10/28/2025にApache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2025-55752
    • 影響するバージョン
        • Apache Tomcat 11.0.0-M1 through 11.0.10
        • Apache Tomcat 10.1.0-M1 through 10.1.44
        • Apache Tomcat 9.0.0.M11 through 9.0.108
        • Apache Tomcat 8.5.6 through 8.5.100
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): 7.5 High
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2025-10-27
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2025-55754
    • 影響するバージョン
        • Apache Tomcat 11.0.0-M1 through 11.0.10
        • Apache Tomcat 10.1.0-M1 through 10.1.44
        • Apache Tomcat 9.0.40 through 9.0.108
        • Apache Tomcat 8.5.60 through 8.5.100
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): 9.6 Critical
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2025-10-27
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2025-61795
    • 影響するバージョン
        • Apache Tomcat 11.0.0-M1 through 11.0.11
        • Apache Tomcat 10.1.0-M1 through 10.1.46
        • Apache Tomcat 9.0.0.M11 through 9.0.109
        • Apache Tomcat 8.5.6 through 8.5.100
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): 5.3 Medium
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2025-10-27
      • EPSS: Not Available
      • Percentile: Not Available

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2025-55752
    • Apache Tomcat: rewriteを通じたディレクトリトラバーサルとPUTが有効になっている場合RCEが発生する可能性の脆弱性
    • Apache Tomcatに相対パストラバーサルの脆弱性が見つかりました。 バグID 60013の修正により、「書き換えられたURLがデコードされる前に正規化されてしまう」というリグレッションが発生していました。この問題により、クエリパラメータをURLに書き換えるRewriteルールにおいて、攻撃者がリクエストURIを操作して /WEB-INF/ および /META-INF/ の保護を含むセキュリティ制約を迂回できる可能性があります。 さらにPUTリクエストが有効になっている場合、悪意のあるファイルがアップロードされてリモートコード実行につながる可能性があります。PUTリクエストは通常、信頼できるユーザーにのみ制限されており、URI操作と併せてPUTリクエストが有効になる可能性はあまりないと考えられます。
  • https://www.cve.org/CVERecord?id=CVE-2025-55754
    • Apache Tomcat: ログメッセージ中のエスケープシーケンスによるコンソール操作
    • Apache Tomcatでのエスケープ・メタ・制御シーケンスの不十分な中和による脆弱性です。 Tomcatはログメッセージ内のANSIエスケープシーケンスをエスケープしていませんでした。もしTomcatがWindows上のコンソールで実行されており、そのコンソールがANSIエスケープシーケンスをサポートしている場合、攻撃者は細工したURLを使用してANSIエスケープシーケンスを挿入し、コンソールとクリップボードを操作し、管理者に攻撃者が制御するコマンドを実行させることが可能でした。攻撃ベクトルは発見されていませんが、他のOSでもこの攻撃が可能だった可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2025-61795
    • Apache Tomcat: マルチパートアップロードテンポラリファイルの削除の遅延によるDoS
    • 不十分なリソースシャットダウンとリリースによる問題です。 マルチパートアップロードの処理中にエラー(制限超過を含む)が発生した場合、ディスクに書き込まれたアップロード済みの一時コピーはすぐにクリーンアップされず、ガベージコレクションプロセスによって削除されるまで残っていました。JVMの設定、アプリケーションのメモリ使用量、アプリケーションの負荷によっては、アップロード済みの一時コピースペースがいっぱいになり、DoS攻撃につながる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました