Apache Tomcatに複数の深刻な脆弱性 DoSや認証バイパスのリスク：セキュリティニュースアラート

Apache Tomcatに複数の深刻な脆弱性が見つかった。これらの脆弱性はDoS攻撃や任意コード実行、認証バイパスなどの悪用を可能にするという。対象バージョンは多岐にわたるため速やかなアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Apache Software Foundationは2025年6月16日（現地時間）、OSS（オープンソースソフトウェア）のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に複数の脆弱（ぜいじゃく）性が存在することを発表した。これらの脆弱性はDoS攻撃や任意コードの実行、認証バイパスなどの悪用を可能にするという。

Apache Tomcatに複数の脆弱性　DoSや認証バイパスのリスク

　指摘されている脆弱性は次の通り。

• CVE-2025-48976：　DoS攻撃を引き起こす脆弱性。ライブラリ「Apache Commons FileUpload」におけるマルチパートヘッダへのリソース割り当てが十分でないことに起因する。多数のマルチパートヘッダを含む悪意のあるリクエストによって過剰なメモリ消費を引き起こし、DoS攻撃につながる可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアは7.5、深刻度「重要」（High）と評価されている
• CVE-2025-48988：　DoS攻撃を引き起こす脆弱性。マルチパートアップロード処理でパーツ数へのリソース割り当てが十分でないことに起因する。多数のマルチパートリクエストによって過剰なメモリ消費を引き起こし、DoS攻撃につながる可能性がある。CVSS v3.1のスコアは7.5、深刻度「重要」（High）と評価されている
• CVE-2025-49124：　任意コード実行を引き起こす脆弱性。「Windows」向けのApache Tomcatインストーラーにおいて「icacls.exe」をフルパス指定なしで起動するため、攻撃者がDLLを差し替え、任意のコードを実行する可能性がある。CVSS v3.1のスコアは8.4、深刻度「重要」（High）と評価されている
• CVE-2025-49125：　認証バイパスを引き起こす脆弱性。「PreResources」や「PostResources」がWebアプリケーションのルート以外にマウントされている場合、保護されていないリソースにアクセスできる可能性があり、セキュリティ制約を回避して機密情報に不正アクセスされるリスクがある。CVSS v3.1のスコアは7.5、深刻度「重要」（High）と評価されている

　CVE-2025-48976やCVE-2025-48988、CVE-2025-49125の影響を受けるバージョンは次の通りだ。

• Apache Tomcat 11.0.0-M1〜11.0.7までのバージョン
• Apache Tomcat 10.1.0-M1〜10.1.41までのバージョン
• Apache Tomcat 9.0.0.M1〜9.0.105までのバージョン

　CVE-2025-49124の影響を受けるバージョンは次の通りだ。

• Apache Tomcat 11.0.0-M1〜11.0.7までのバージョン
• Apache Tomcat 10.1.0〜10.1.41までのバージョン
• Apache Tomcat 9.0.23〜9.0.105までのバージョン

　修正済みのApache Tomcatのバージョンは次の通りだ。

• Apache Tomcat 11.0.8およびこれ以降のバージョン
• Apache Tomcat 10.1.42およびこれ以降のバージョン
• Apache Tomcat 9.0.106およびこれ以降のバージョン