公開日:2025/06/17 最終更新日:2025/06/17

JVNVU#92268925
Apache Tomcatにおける複数の脆弱性(CVE-2025-49124、CVE-2025-49125)

概要

The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2025-49124、CVE-2025-49125)に対するアップデートが公開されました。

影響を受けるシステム

CVE-2025-49124

  • Apache Tomcat 11.0.0-M1から11.0.7まで
  • Apache Tomcat 10.1.0から10.1.41まで
  • Apache Tomcat 9.0.23から9.0.105まで
CVE-2025-49125
  • Apache Tomcat 11.0.0-M1から11.0.7まで
  • Apache Tomcat 10.1.0-M1から10.1.41まで
  • Apache Tomcat 9.0.0.M1から9.0.105まで

詳細情報

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

  • Windows向けTomcatインストーラーがicacls.exeを読み込む際にサイドローディングが発生する(CVE-2025-49124)
  • PreResourcesPostResourcesがWebアプリケーションのルート以外に配置されている場合、Tomcatのセキュリティ制約が回避される(CVE-2025-49125)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サイドローディングにより任意のコードを実行される(CVE-2025-49124)
  • Tomcatのセキュリティ制約を回避され、意図しないリソースへアクセスされる(CVE-2025-49125)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
各脆弱性は次のバージョンで修正されています。

  • Apache Tomcat 11.0.8およびそれ以降
  • Apache Tomcat 10.1.42およびそれ以降
  • Apache Tomcat 9.0.106およびそれ以降

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2025-49124 Apache Tomcat - Side-loading via Tomcat installer for Windows
[SECURITY] CVE-2025-49125 Apache Tomcat - Security constraint bypass for pre/post-resources
Fixed in Apache Tomcat 11.0.8
Fixed in Apache Tomcat 10.1.42
Fixed in Apache Tomcat 9.0.106

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia