Apache Tomcatにクロスサイトスクリプティングの脆弱性

アプリケーションサーバソフトのApache Tomcatにクロスサイトスクリプティング関連の脆弱性があることが明らかになった。

[ITmedia]

　Apache Tomcatにクロスサイトスクリプティングを可能にする脆弱性が存在することが、Secuniaのアドバイザリーで公表された。危険度は低い。

　「Tomcat Manager」経由の入力がユーザーに返される時に、適切に処理されないことが原因で、不正なサイトを訪れたユーザーが任意のHTMLとスクリプトコードを実行させられる可能性があるという。

　この不正行為を実行するためには、ユーザーが認証されている必要がある。バージョン5.5.4での脆弱性が確認されているが、ほかのバージョンにも同じ脆弱性が存在する可能性がある。

　対策としては、「Tomcat Manager」にログインしている間には信頼できないWebサイトを訪れないこと。