Apache Tomcatに深刻な脆弱性、リモートコード実行の恐れ
Apache Software Foundationは、複数のバージョンのApache Tomcatに影響を与える2つのセキュリティ脆弱性を開示しました。そのうち1つは、脆弱なサーバー上でリモートコード実行(RCE)の深刻なリスクをもたらします。これらの脆弱性はApache Tomcatのバージョン9、10、11に影響を与え、管理者に対し、直ちにインストールをアップグレードするよう緊急の警告が発されています。
確認された脆弱性は以下の通りです。
- CVE-2025-55752: リライト経由のディレクトリトラバーサル(PUTが有効な場合にRCEの可能性あり) – 深刻度: 重要
- CVE-2025-55754: ログメッセージ内のエスケープシーケンスによるコンソール操作 – 深刻度: 低
CVE-2025-55752: 深刻なディレクトリトラバーサル脆弱性によるRCEの可能性
最も深刻な脆弱性であるCVE-2025-55752は、「重要」と評価されており、以前のバグ修正中に導入されたリグレッションに起因します。このディレクトリトラバーサル脆弱性により、攻撃者はデコード前に正規化されるリライトされたURLを介してリクエストURIを操作できます。この脆弱性は、クエリパラメータを操作するリライトルールに特有のもので、攻撃者は/WEB-INF/や/META-INF/のような機密性の高いディレクトリを保護するために設計された重要なセキュリティ制約を回避することが可能になります。
真の危険は、影響を受けるサーバーでPUTリクエストが有効になっている場合に発生します。このシナリオでは、攻撃者はディレクトリトラバーサルの脆弱性を悪用して悪意のあるファイルをサーバーにアップロードし、最終的にリモートコード実行を達成する可能性があります。ただし、セキュリティ専門家は、PUTリクエストは通常、信頼されたユーザーに制限されているため、本番環境での悪用シナリオは比較的少ないと指摘しています。
この脆弱性はCyCraft Technologyのセキュリティ研究者Chumy Tsai氏によって発見され、以下のApache Tomcatバージョンに影響を与えます。
- 11.0.0-M1から11.0.10
- 10.1.0-M1から10.1.44
- 9.0.0.M11から9.0.108
CVE-2025-55754: エスケープシーケンスによるコンソール操作
2番目の脆弱性であるCVE-2025-55754は、深刻度評価は低いものの、依然としてセキュリティ上の懸念をもたらします。この欠陥は、Apache Tomcatがログメッセージ内のANSIエスケープシーケンスを適切にエスケープできないことに起因します。ANSIエスケープシーケンスをサポートするWindowsシステム上のコンソール環境でTomcatが実行されている場合、攻撃者は特別に設計されたURLを作成して、悪意のあるエスケープシーケンスをログ出力に注入できます。
これらの注入されたシーケンスは、コンソール表示やクリップボードの内容を操作し、システム管理者を騙して攻撃者が制御するコマンドを実行させる可能性があります。主にWindowsプラットフォームで観測されていますが、研究者は他のオペレーティングシステムでも同様の攻撃ベクトルが存在する可能性があると警告しています。
この脆弱性はMOBIA Technology InnovationsのElysee Franchuk氏によって特定され、Apache Tomcatのバージョン9、10、11シリーズの同様のバージョン範囲に影響を与えます。
推奨される対策とアップグレード
Apacheは、両方の脆弱性に対処するためのパッチ適用済みバージョンをリリースしました。影響を受けるTomcatインストールを実行している組織は、展開に応じて直ちにバージョン11.0.11、10.1.45、または9.0.109にアップグレードする必要があります。
これらのセキュリティアップデートは2025年10月27日に発表されており、各影響バージョンシリーズに関する詳細な緩和策ガイダンスは、Apacheの公式セキュリティアドバイザリを通じて入手可能です。