公開日:2025/03/11 最終更新日:2025/03/11

JVNVU#93567491
Apache Tomcat partial PUTにおけるリモートコード実行、情報漏えいや改ざんの脆弱性(CVE-2025-24813)

概要

Apache Tomcatのpartial PUTの元の実装には、リモートコード実行、情報漏えいや改ざんとなり得る脆弱性が存在します。

影響を受けるシステム

  • Apache Tomcat 11.0.0-M1から11.0.2まで
  • Apache Tomcat 10.1.0-M1から10.1.34まで
  • Apache Tomcat 9.0.0.M1から9.0.98まで

詳細情報

Apache Tomcatのpartial PUTの元の実装では、ユーザーが指定したファイル名とパスを基にパス区切り文字を「.」に置き換えた一時ファイルが使用されています。このため、特定の条件下で、リモートコード実行、セキュリティ上重要なファイルの表示やコンテンツ挿入の可能性があります。(CVE-2025-24813、CWE-44CWE-502

想定される影響

以下のすべての条件が成立する場合、セキュリティ上重要なファイルの表示やコンテンツ挿入の可能性があります。

  • デフォルトサーブレットの書き込みが有効(デフォルトで無効)
  • partial PUTをサポート(デフォルトで有効)
  • セキュリティ上重要なアップロード対象のURLが、パブリックアップロード対象URLのサブディレクトリである
  • 攻撃者がアップロードされるセキュリティ上重要なファイルの名前を知っている
  • セキュリティ上重要なファイルがpartial PUTでアップロードされる
以下のすべての条件が成立する場合、リモートコード実行の可能性があります。
  • デフォルトサーブレットの書き込みが有効(デフォルトで無効)
  • partial PUTをサポート(デフォルトで有効)
  • アプリケーションがデフォルトのストレージロケーションでTomcatのファイルベースのセッション永続性を使用している
  • アプリケーションに、デシリアライゼーション攻撃に利用される可能性のあるライブラリが含まれている

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

  • Apache Tomcat 11.0.3以降
  • Apache Tomcat 10.1.35以降
  • Apache Tomcat 9.0.99以降

ベンダ情報

ベンダ リンク
The Apache Software Foundation [SECURITY] CVE-2025-24813 Potential RCE and/or information disclosure and/or information corruption with partial PUT
Apache Tomcat 11.x vulnerabilities
Apache Tomcat 10.x vulnerabilities
Apache Tomcat 9.x vulnerabilities

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia