CVE-2025-24813 Flaw in Apache Tomcat Exposes Servers to RCE, Data Leaks: Update Immediately
2025/03/10 SecurityOnline — Apache Tomcat に、深刻な脆弱性 CVE-2025-24813 が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行/機密情報の漏洩/データの破損などを引き起こす機会を手にする。Apache Software Foundation は、緊急のセキュリティ・アドバイザリを発行し、影響を受けるバージョンのユーザーに対して速やかな更新を促している。
広く使用されているオープンソースの Web Server/Servlet Container である Apache Tomcat は、partial PUT リクエストの処理に弱点があり、この欠陥に対して脆弱である。アドバイザリによると、オリジナルの partial PUT の実装では、ユーザーが指定したファイル名とパスに基づいて、パス区切り文字を “.” に置き換える、一時ファイルを使用していた。この、一見すると些細な仕様により、特定の条件下では深刻なセキュリティ・ホールが発生するという。
このアドバイザリでは、2つの悪用シナリオを概説している。
情報漏えいと破損
デフォルトのサーブレットの書き込みが有効化され (初期設定は無効)、partial PUT サポートがアクティブ (初期設定は有効) で、機密性の高いアップロードのターゲット URL が、パブリック・アップロード URL のサブディレクトリであり、partial PUT でアップロードされる機密性の高いファイル名を攻撃者が知っている場合には、セキュリティにおいて重要なファイルの表示や、それらのファイルへのコンテンツ挿入などを可能にする。
リモート・コード実行 (RCE)
デフォルトのサーブレットの書き込みが有効化され、partial PUT がアクティブであり、アプリケーションがデフォルトのストレージで Tomcat のファイル・ベースのセッション・パーシステンスを使用し、デシリアライゼーション攻撃に対して脆弱なライブラリがアプリケーションに取り込まれている場合には、悪意のユーザーによるリモート・コード実行が可能になる。
これらのシナリオが浮き彫りにするのは、機密データへの不正アクセスとサーバの完全な侵害につながる可能性がある、脆弱性 CVE-2025-24813 の重大性である。
脆弱性 CVE-2025-24813 が影響を及ぼす範囲は、以下の Apache Tomcat バージョンとなる:
- 11.0.0-M1 ~ 11.0.2
- 10.1.0-M1 ~ 10.1.34
- 9.0.0.M1 ~ 9.0.98
Apache Software Foundation は、これらのバージョンのユーザーに対して強く推奨するのは、以下の緩和策の適用である:
- 11.0.3 以降へのアップグレード
- 10.1.35 以降へのアップグレード
- 9.0.99 以降へのアップグレード
この脆弱性が悪用されると、データ侵害とリモート・コード実行の可能性が生じ、重大な脅威となる。影響を受けるバージョンでは、partial PUT 機能がデフォルトで有効化されているため、さらにリスクが増大する。パッチ適用が遅滞すると、数多くの本番サーバが脆弱になると懸念される。
影響を受ける Apache Tomcat バージョンを実行しているサーバ管理者は、速やかに措置を講じ、この脆弱性を軽減する必要がある。修正のためのパッチが適用されるバージョンへのアップグレードが、潜在的な攻撃からの保護において、最も効果的な方法である。
CISA-ADP 評価の CVSS 値は 5.5 となっていますが、広く利用されている Apache Tomcat なので、広範な影響が懸念されます。 (※筆者注:2025/03/18 に、CVSS 9.8 Critical に更新されました)ご利用のチームは、アップデートを、ご検討ください。なお、この製品に関連する直近の脆弱性は、2024/12/22 の「Apache Tomcat の脆弱性 CVE-2024-56337 が FIX:PoC も提供」です。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.