JVNDB-2025-006098
|
Apache Tomcat の CGI サーブレットにおいて pathInfo のセキュリティ制約が回避される脆弱性
|
|
The Apache Software Foundation から、Apache Tomcat の脆弱性 (CVE-2025-46701) に対するアップデートが公開されました。
Apache Tomcat の CGI サーブレットには、大文字・小文字に対する不適切な取り扱い (CWE-178、CVE-2025-46701) に起因して、CGI サーブレットにマップされた URL のうち、pathInfo に設定されたセキュリティ制約が回避される脆弱性が存在します。
|
|
|
|
|
Apache Software Foundation
- Apache Tomcat 11.0.0-M1 から 11.0.6 まで
- Apache Tomcat 10.1.0-M1 から 10.1.40 まで
- Apache Tomcat 9.0.0.M1 から 9.0.104 まで
|
ただし、大文字と小文字を区別しないファイルシステムで Tomcat が稼働し、かつ CGI サーブレットが用いられている場合においてのみ、本脆弱性の影響を受けます。
|
|
大文字と小文字を区別しないファイルシステム上で稼働する Tomcat において、特別に細工された URL へのアクセスを処理する際に、CGI サーブレットにマップされた URL のうち、pathInfo に設定されたセキュリティ制約が回避され、意図しないアクセスを許可してしまう可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は次のバージョンで修正されています。
* Apache Tomcat 11.0.7 およびそれ以降
* Apache Tomcat 10.1.41 およびそれ以降
* Apache Tomcat 9.0.105 およびそれ以降
|
|
Apache Software Foundation
|
|
- 大文字と小文字の区別の不適切な処理(CWE-178) [その他]
|
|
- CVE-2025-46701
|
|
- JVN : JVNVU#91929206
|
|
|
