Apache Tomcat、URL書き換え回避など3件の脆弱性を修正-CVE-2025-55752は条件次第でRCEの恐れ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年10月30日更新日時: 2025年10月30日

Apache Software Foundation は Tomcat 9/10/11 系向けに複数のセキュリティ更新を公開しました。

今回公表されたのは CVE-2025-55752 / CVE-2025-55754 / CVE-2025-61795 の 3 件で、いずれもアップグレードで解消されます。プロジェクトのメーリングリスト（dev@tomcat）で公開されたアドバイザリでは、CVE-2025-55752 を「Important（重要）」とし、特定条件下で URL 書き換えルールを回避して /WEB-INF/ や /META-INF/ の保護を突破、PUT が有効ならリモートコード実行（RCE）に至る可能性があると説明しています

（報告者：CyCraft Technology の Chumy Tsai 氏）。

1 CVE-2025-55752：URL リライト回避（ディレクトリトラバーサル）— PUT 併用時に RCE の可能性
2 CVE-2025-55754：ANSI エスケープ非処理によるコンソール操作リスク（Windows）
3 CVE-2025-61795：マルチパートアップロードでの DoS リスク（一時ファイルの清掃遅延）

CVE-2025-55752：URL リライト回避（ディレクトリトラバーサル）— PUT 併用時に RCE の可能性

影響範囲
- Tomcat 11.0.0-M1〜11.0.10
- Tomcat 10.1.0-M1〜10.1.44
- Tomcat 9.0.0-M11〜9.0.108（EOL を含む古い版にも影響の可能性）
原因
過去の bug 60013 の修正に回帰があり、書き換え後の URL をデコード前に正規化してしまったため、クエリパラメータをパスに書き換えるタイプのルールで、要求 URI を細工してアクセス制御（/WEB-INF/・/META-INF/ 保護など）を回避できる状態が生じた。
悪用シナリオ
リライト回避に HTTP PUT が組み合わさる構成では、細工したファイルのアップロード→実行により RCE の恐れ。
ただし PUT は通常、信頼利用者に限定され、URI を操作するリライトと同時に有効化する構成は想定しにくいため、一般的な設定での現実的リスクは限定的とされています。
対処（いずれか）
- 11.0.11 以降 / 10.1.45 以降 / 9.0.109 以降 へアップグレード

CVE-2025-55754：ANSI エスケープ非処理によるコンソール操作リスク（Windows）

影響範囲
- Tomcat 11.0.0-M1〜11.0.10
- Tomcat 10.1.0-M1〜10.1.44
- Tomcat 9.0.0.40〜9.0.108
内容
ログメッセージ中の ANSI エスケープをエスケープしていなかったため、Windows のコンソール（ANSI サポートあり）で Tomcat を実行している場合、細工 URL によりコンソール操作やクリップボード操作を誘発し、管理者にコマンド実行を誤誘導できる恐れ。
直接的な攻撃ベクトルは特定されていませんが、他 OS でも類似の操作が成立する可能性に言及。
対処
- 11.0.11 / 10.1.45 / 9.0.109 へアップグレード

CVE-2025-61795：マルチパートアップロードでの DoS リスク（一時ファイルの清掃遅延）

影響範囲
- Tomcat 11.0.0-M1〜11.0.11
- Tomcat 10.1.0-M1〜10.1.46
- Tomcat 9.0.0-M1〜9.0.109
内容
マルチパートアップロードで エラー（サイズ上限超過など） が発生した際、ローカルに書き出した一時ファイルが即時削除されず GC に委ねられる実装だった。JVM 設定・負荷によって GC の追いつきが遅れると、ストレージが一時ファイルで逼迫し DoS に至り得る。
対処
- 11.0.12 / 10.1.47 / 9.0.110 へアップグレード