CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須

Apache Tomcatがリモートコード実行や機密情報 漏洩のリスクを起こす脆弱性（CVE-2025-24813）が発生しました。2025年4月1日　アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）はこの脆弱性が実際に悪用されているとして、警告・対策リストに加えました。これにより米国内の政府機関は4月22日までの3週間以内にパッチ適用などの対策を実施する必要があります。

脆弱性の影響を受けるバージョン

• Apache Tomcat 11.0.0-M1 ～ 11.0.2
• Apache Tomcat 10.1.0-M1 ～ 10.1.34
• Apache Tomcat 9.0.0.M1 ～ 9.0.98

脆弱性の対策バージョンバージョン

• Apache Tomcat 11.0.3以降
• Apache Tomcat 10.1.35以降
• Apache Tomcat 9.0.99以降

脆弱性 CVE-2025-24813の概要

特に問題なのは、脆弱性の要因となっている「Partial PUT」という機能が、影響を受けるバージョンではデフォルトで有効になっている点です。これは、管理者が特別な設定を行っていなくても、すでにサーバーが攻撃の対象となり得る状況であることを意味しています。

セキュリティコンサルティング会社Wallarmよると、CVE-2025-24813 は、公開からわずか 30 時間で悪用されるようになり、PoCも公開されています。

CISA も悪意のあるサイバー攻撃者による頻繁な攻撃経路となり、政府の事業に重大なリスクが発生する為脆弱性への対処と緩和策が利用できない場合は製品の使用を停止を推奨しています。。

一時的な回避策

アップデートがすぐにできない場合、以下の回避策を実施してください。

• PUTメソッドの無効化
  Tomcatの設定ファイル（conf/web.xml）で、PUTリクエストを無効化 することで、不正なデータのアップロードを防ぎます。

• セッション永続化の無効化
  Tomcatの設定で セッションの永続化を無効化 することで、攻撃者が意図しないデータを保存するのを防ぎます。

• readonly="true"アップロードを防止するためにデフォルトのサーブレットに設定します。