JVNDB-2023-003016

Apache Tomcat におけるオープンリダイレクトの脆弱性

Apache Tomcat には、ROOT ディレクトリに配置されたデフォルトのウェブアプリケーションが FORM 認証を使用するように設定されている場合、オープンリダイレクトが発生する脆弱性 (CVE-2023-41080) が存在します。

Apache Software Foundation

• Apache Tomcat 11.0.0-M1 から 11.0.0-M10 までのバージョン
• Apache Tomcat 10.1.0-M1 から 10.1.12 までのバージョン
• Apache Tomcat 9.0.0-M1 から 9.0.79 までのバージョン
• Apache Tomcat 8.5.0 から 8.5.92 までのバージョン

細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

　* Apache Tomcat 11.0.0-M11 およびそれ以降のバージョン
　* Apache Tomcat 10.1.13 およびそれ以降のバージョン
　* Apache Tomcat 9.0.80 およびそれ以降のバージョン
　* Apache Tomcat 8.5.93 およびそれ以降のバージョン

Apache Software Foundation

• The Apache Software Foundation : [SECURITY] CVE-2023-41080 Apache Tomcat - open redirect
• The Apache Software Foundation : Fixed in Apache Tomcat 11.0.0-M11
• The Apache Software Foundation : Fixed in Apache Tomcat 10.1.13
• The Apache Software Foundation : Fixed in Apache Tomcat 9.0.80
• The Apache Software Foundation : Fixed in Apache Tomcat 8.5.93

1. CVE-2023-41080

1. JVN : JVNVU#93446549
2. JVN : JVNVU#91198149
3. National Vulnerability Database (NVD) : CVE-2023-41080
4. ICS-CERT ADVISORY : ICSA-24-046-15

• [2023年08月29日]
    掲載
• [2024年02月20日]
    参考情報：JVN (JVNVU#91198149) を追加
    参考情報：ICS-CERT ADVISORY (ICSA-24-046-15) を追加