公開日:2025/06/26 最終更新日:2025/06/26

JVN#09924566
複数のApache製品におけるサービス運用妨害(DoS)の脆弱性

概要

The Apache Software Foundationが提供する複数の製品には、サービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

CVE-2025-48976

  • Apache Commons FileUpload 1.0から1.6より前
  • Apache Commons FileUpload 2.0.0-M1から2.0.0-M4より前
CVE-2025-48988
なお、TomcatはCommons FileUploadのフォークを含むため、下記のバージョンにおいてはCVE-2025-48976の影響も受けます。
  • Apache Tomcat 11.0.0-M1から11.0.7まで
  • Apache Tomcat 10.1.0-M1から10.1.41まで
  • Apache Tomcat 9.0.0.M1から9.0.105まで

詳細情報

The Apache Software Foundationが提供する複数の製品には、次の脆弱性が存在します。

  • 制限または調整なしのリソースの割り当て(CWE-770
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
    • CVE-2025-48976、CVE-2025-48988

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 制限が不十分なマルチパートヘッダーへのリソースの割り当てによって、サービス運用妨害(DoS)状態となる(CVE-2025-48976)
  • 制限あるいは調整のないリソースの割り当てによって、サービス運用妨害(DoS)状態となる(CVE-2025-48988)

対策方法

アップデートする
開発者が提供する情報をもとに、以下のバージョンへアップデートしてください。

CVE-2025-48976

  • Apache Commons FileUpload 1.6およびそれ以降
  • Apache Commons FileUpload 2.0.0-M4およびそれ以降
CVE-2025-48988
  • Apache Tomcat 11.0.8およびそれ以降
  • Apache Tomcat 10.1.42およびそれ以降
  • Apache Tomcat 9.0.106およびそれ以降
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation CVE-2025-48976: Apache Commons FileUpload, Apache Commons FileUpload: FileUpload DoS via part headers
[SECURITY] CVE-2025-48988 Apache Tomcat - DoS in multipart upload
Fixed in Apache Tomcat 11.0.8
Fixed in Apache Tomcat 10.1.42
Fixed in Apache Tomcat 9.0.106

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:NTTデータグループ TERASOLUNA Framework セキュリティチーム

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2025-000044