JVNVU#95235705
Apache Tomcatにおける複数の脆弱性（CVE-2025-55752、CVE-2025-55754、CVE-2025-61795）

The Apache Software Foundationから、Apache Tomcatの脆弱性（CVE-2025-55752、CVE-2025-55754、CVE-2025-61795）に対するアップデートが公開されました。

CVE-2025-55752

• Apache Tomcat 11.0.0-M1から11.0.10まで
• Apache Tomcat 10.1.0-M1から10.1.44まで
• Apache Tomcat 9.0.0.M11から9.0.108まで

• Apache Tomcat 11.0.0-M1から11.0.10まで
• Apache Tomcat 10.1.0-M1から10.1.44まで
• Apache Tomcat 9.0.0.40から9.0.108まで

• Apache Tomcat 11.0.0-M1から11.0.11まで
• Apache Tomcat 10.1.0-M1から10.1.46まで
• Apache Tomcat 9.0.0.M1から9.0.109まで

The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。

• クエリパラメータをURLに書き換えるリライトルールを設定している環境において、攻撃者がリクエストURIを操作できる（CVE-2025-55752）
• Tomcatのログメッセージ内でANSIエスケープ・シーケンスを適切にエスケープ処理しておらず、Windowsのコンソール上で不正な操作が行われる（CVE-2025-55754）
• マルチパートアップロード処理中にエラーが発生した場合、一時コピーが即時に削除されずに残ってしまい、ディスクリソースを圧迫する（CVE-2025-61795）

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• /WEB-INF/や/META-INF/ディレクトリを含めた、セキュリティ制約を回避される。PUTリクエストを有効にしている場合は、悪意のあるファイルをアップロードされ、リモートコードの実行につながる（CVE-2025-55752）
• 特別に細工されたURLによるアクセスでANSIエスケープシーケンスをログに注入され、コンソールやクリップボードを不正に操作される（CVE-2025-55754）
• サービス運用妨害（DoS）状態を引き起こされる（CVE-2025-61795）

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。

CVE-2025-55752、CVE-2025-55754

• Apache Tomcat 11.0.11およびそれ以降
• Apache Tomcat 10.1.45およびそれ以降
• Apache Tomcat 9.0.109およびそれ以降

• Apache Tomcat 11.0.12およびそれ以降
• Apache Tomcat 10.1.47およびそれ以降
• Apache Tomcat 9.0.110およびそれ以降