2025年5月29日、Apache Software Foundationは、Apache TomcatにおいてCGI(Common Gateway Interface)に関連するセキュリティ制約を回避できてしまう脆弱性「CVE-2025-46701」を公表しました。本脆弱性は深刻度こそ「低(Low)」に分類されていますが、特定条件下では意図しないアクセス許可やデータ漏えいのリスクを孕んでおり、注意が必要です。
脆弱性の対象バージョン
以下バージョンかつCGI Servletが有効かつpathInfoで制約を設けている場合に脆弱性に該当します
-
Apache Tomcat 11.0.0-M1 ~ 11.0.6
-
Apache Tomcat 10.1.0-M1 ~ 10.1.40
-
Apache Tomcat 9.0.0.M1 ~ 9.0.104
脆弱性の対策バージョン
-
11.0系列:11.0.7以上にアップグレード
-
10.1系列:10.1.41以上にアップグレード
-
9.0系列:9.0.105以上にアップグレード
脆弱性の概要
この脆弱性は、Tomcatを大文字・小文字を区別しないファイルシステム(例:Windows環境)上で稼働させ、CGI Servletに対してpathInfoパラメータを含むセキュリティ制約を構成している環境で発生します。
攻撃者は、この条件下でファイルパスの大文字・小文字の違いを悪用し、セキュリティ制約を回避したリクエストをTomcatに送信可能です。つまり、本来アクセスが制限されているはずのCGIスクリプトにアクセスできてしまうという問題です。
この脆弱性は、あくまで「低リスク」とされていますが、開発・テスト環境を含む本番運用前の環境において、CGIスクリプトを用いている場合は特に注意が必要です。
また、CGI経由で処理を行っているケースでは、セキュリティ制約が期待通りに機能していない可能性もあります。TomcatをWindows環境や他のcase-insensitiveなOS上で運用している場合、脆弱性が顕在化しやすくなります。
関連記事
Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650)
Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)
Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを
CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須
Apache Tomcatがリモートコード実行の脆弱性およびDoS脆弱性を修正(CVE-2024-50379 、CVE-2024-54677)
Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開
Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577)
PHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577)
Apache OFBizが重大な脆弱性を修正(CVE-2024-45195)
