Apache Tomcatでリモートコード実行や機密情報 漏洩のリスクを起こす脆弱性（CVE-2025-24813）

Apache Tomcatがリモートコード実行や機密情報 漏洩のリスクを起こす脆弱性（CVE-2025-24813）が発生しました。対象者は早急にアップデートする事をお勧めします。

脆弱性の影響を受けるバージョン

• Apache Tomcat 11.0.0-M1 ～ 11.0.2
• Apache Tomcat 10.1.0-M1 ～ 10.1.34
• Apache Tomcat 9.0.0.M1 ～ 9.0.98

脆弱性の対策バージョンバージョン

• Apache Tomcat 11.0.3以降
• Apache Tomcat 10.1.35以降
• Apache Tomcat 9.0.99以降

脆弱性 CVE-2025-24813の概要

この脆弱性は、サーバー運用者にとって極めて深刻な問題です。

この脆弱性は、攻撃者がリモートで任意のコードを実行できる可能性を持つ、いわゆる「リモートコード実行（RCE）」のリスクを孕んでいます。

特に問題なのは、脆弱性の要因となっている「Partial PUT」という機能が、影響を受けるバージョンではデフォルトで有効になっている点です。これは、管理者が特別な設定を行っていなくても、すでにサーバーが攻撃の対象となり得る状況であることを意味しています。

CVE-2025-24813が悪用されると、攻撃者は対象のTomcatサーバー上で任意のコードを実行することが可能になります。

たとえば、悪意あるスクリプトを実行してシステムの制御を奪ったり、バックドアを設置して継続的にサーバーへアクセスしたりすることができてしまいます。最悪の場合、機密情報が漏洩したり、サービスが完全に停止してしまったりするリスクがあり、攻撃者がデータの改ざんや消去を行う可能性も考えられます。

また、情報漏洩のリスクも無視できません。攻撃者は特定の条件下で、他の利用者がアップロードしたファイルを部分的に書き換えることが可能になります。これにより、機密性の高い情報が外部に漏れてしまうだけでなく、悪意のあるコードが既存のファイルに紛れ込む恐れもあります。

特に注意が必要なのは、インターネットに公開されているTomcatサーバーです。

現在、インターネット上では脆弱性を自動的にスキャンし、攻撃を仕掛けるボットが日々稼働しています。そのため、公開サーバーで脆弱性が放置されている場合、すぐに攻撃の標的となってしまう可能性があります。実際に、過去にもTomcatの既知の脆弱性が公開されてから数日以内に大規模な攻撃が発生した事例が複数報告されています。