Apache Tomcat CVE-2025-55752/55754 脆弱性が FIX:リモート・コード実行やログ操作の可能性

Apache Tomcat Flaws Allow Remote Code Execution on Vulnerable Servers

2025/10/28 gbhackers — Apache Software Foundation が公開したのは、Apache Tomcat の複数バージョンに影響を及ぼす2件のセキュリティ脆弱性 CVE-2025-55752CVE-2025-55754 に関する情報である。これらの脆弱性が影響を及ぼす範囲は、Apache Tomcat バージョン 9/10/11 であり、管理者たちが受け取っているのは、インストール済みシステムへの迅速なアップグレードを促す警告である。

深刻なディレクトリ・トラバーサルの脆弱性

1つ目の脆弱性 CVE-2025-55752 は、深刻度 Important と評価されている。この問題は、過去のバグ修正時に混入したディレクトリ・トラバーサルの欠陥に起因し、デコード前に正規化される書き換え済み URL を介して、リクエスト URI の改竄を許してしまうものだ。特に、クエリ・パラメータを操作する書き換えルールに影響するため、/WEB-INF/ や /META-INF/ といった機密ディレクトリを保護するための重要なセキュリティ制約を、攻撃者は回避していける。

CVE IDVulnerabilitySeverityCVSS Score
CVE-2025-55752Directory traversal via rewrite with possible RCE if PUT is enabledImportantN/A
CVE-2025-55754Console manipulation via escape sequences in log messagesLowN/A

この脆弱性で最も懸念されるのは、影響を受けるサーバ上で PUT リクエストが有効化されている場合に生じる問題である。このシナリオでは、ディレクトリ・トラバーサルの脆弱性を悪用する攻撃者が、悪意のファイルをサーバにアップロードし、最終的にリモート・コード実行を達成できるという。しかし、セキュリティ専門家が指摘するのは、通常における PUT リクエストは信頼できるユーザーに制限されているため、本番環境で悪用されるリスクは限定的であるという点だ。

この脆弱性が影響を及ぼす範囲は、Apache Tomcat のバージョン 11.0.0-M1~11.0.10/10.1.0-M1~10.1.44/9.0.0.M11~9.0.108 となる。

エスケープ・シーケンスによるコンソール操作

2つ目の脆弱性 CVE-2025-55754 は深刻度が Low と評価されているが、セキュリティ上の懸念事項となっている。この問題は、Apache Tomcat がログメッセージ内の ANSI エスケープ・シーケンスを適切に処理できないことに起因する。

ANSI エスケープ・シーケンスをサポートする Windows システムのコンソール環境で Tomcat が実行される場合に、この脆弱性を悪用する攻撃者は、特別に設計された URL を作成することで、ログ出力に悪意のエスケープ・シーケンスを挿入できる。そして、システム管理者を欺きながら、挿入されたシーケンスによりコンソール表示やクリップボード内容を操作する攻撃者は、任意のコマンド実行の可能性を得る。

なお、この問題は、主に Windows プラットフォームに影響することが確認されているが、他の OS にも同様の攻撃ベクターが存在する可能性があると、研究者は警告している。

この脆弱性が影響を及ぼす範囲は、Apache Tomcat バージョン 9/10/11 となる。

対応策

すでに Apache は、これらの脆弱性を修正するバージョンをリリースしている。影響を受ける Tomcat 環境を運用する組織は、導入状況に応じて直ちにバージョン 11.0.11/10.1.45/9.0.109 へとアップグレードする必要がある。

セキュリティ・アップデート内容の詳細については 2025年10月27日に公表されており、それぞれのバージョン向けの詳細な対策ガイダンスは、Apache の公式セキュリティ・アドバイザリで確認できる。

Apache Tomcat の脆弱性は、URL の処理とログ出力の仕組みに起因するものです。1つ目の問題は、URL の書き換え処理で正規化の順序が誤っていたことが原因で、特殊な文字を使ったリクエストにより、本来はアクセスできないフォルダへの侵入を許してしまうものです。2つ目は、ログ出力時に ANSI エスケープ・シーケンスを正しく無害化できない点で、細工された文字列によるコンソール操作が引き起こされる可能性があります。ご利用のチームは、ご注意ください。よろしければ、Apache Tomcat で検索を、ご参照ください。