Apache Tomcat 脆弱性 CVE-2026-24733 が FIX:HTTP/0.9 を介したセキュリティ・バイパス

Apache Tomcat Vulnerabilities Let Attackers Bypass Security Constraints via HTTP/0.9 Requests

2026/02/20 CyberSecurityNews — Apache Tomcat が公表したのは、特定のアクセス制御ルールコンフィグの下で HTTP/0.9 リクエストを介して発生する、深刻度 Low のセキュリティ制約回避の脆弱性 CVE-2026-24733 に関する情報である。この問題を特定した Apache Tomcat セキュリティ・チームは、2026年2月17日にアドバイザリを公開した。

この脆弱性は、Tomcat が HTTP/0.9 リクエストを GET メソッドに制限していないことに起因する。現代的なメソッド処理やヘッダ処理に対する仕様が組み込まれる以前の HTTP/0.9 は、旧式かつ最小限のプロトコルであり、現在では使用が避けられるものだ。

しかし、Tomcat インスタンスに到達可能な攻撃者が 、細工された HTTP/0.9 形式のトラフィックを送信できる場合には、メソッド処理の挙動により、セキュリティ制約の適用に予期しないギャップが生じる。

具体的には、ある URI に対して HEAD を許可し GET を拒否するような、特定のセキュリティ制約コンフィグにおいてバイパスが発生してしまう。なお、通常の HTTP バージョンでは、コンフィグにより GET でのリソース本体の取得は防止される。

しかし、脆弱性 CVE-2026-24733 を悪用する攻撃者は、仕様上は無効な HEAD リクエストを HTTP/0.9 で送信することで、GET に対する制約を回避できてしまう。

この問題は、設計に依存するものであり、HEAD 許可/GET 拒否という特定の制約コンフィグと、HTTP/0.9 パースがエンド-to-エンドで受理される経路が必要となる。

それにもかかわらず、プロトコル正規化が想定通り実施されない場合にリスクが生じる。具体的には、レガシー統合環境/特殊なクライアント/一部のプロキシトポロジ・コンフィグ環境などで問題が生じる可能性がある。

影響バージョンと対策

この脆弱性の影響が及ぶ範囲は、現行のサポート・ブランチや EOL バージョンなどである。EOL バージョンを使用している組織は、サポート対象ブランチへ移行すべきである。それらのバージョンに対して、セキュリティ・バックポートが実施されていない可能性があると、想定すべきである。

Tomcat branchVersions affectedFixed version
1111.0.0-M1 to 11.0.1411.0.15+
10.110.1.0-M1 to 10.1.4910.1.50+
9.09.0.0.M1 to 9.0.1129.0.113+
Older (EOL)Also affectedUpgrade to supported branch

すでに Apache は、Tomcat のバージョン 11.0.15+/10.1.50+/9.0.113+ をリリースし、この問題に対処している。ユーザーに推奨されるのは、速やかなアップグレードである。

また、実務的なハードニングとして、保護対象エンドポイントにおける HEAD と GET のアクセス制御意図を再確認すべきである。さらに、前段のリバースプロキシやロードバランサーが、想定外のプロトコル・ダウングレードを許容していないことも検証する必要がある。

あまりにも古いため、現代ではほぼ使われていないはずの HTTP/0.9 プロトコルを、Apache Tomcat において悪用することで、アクセス制限のバイパスを許す脆弱性 CVE-2026-24733 が発見されました。この問題の根本原因は、Tomcat が HTTP/0.9 リクエストを処理する際に、GET や HEAD などのメソッド制限を、適切に適用できないところにあります。きわめてシンプルな HTTP/0.9 は古い規格であり、GET メソッドしか存在しません。しかし、攻撃者が HTTP/0.9 形式を装いながら、本来は禁止されているはずの場所へアクセスを試みると、Tomcat 側の特定のアクセス制御コンフィグ (例:HEAD は通すが GET は拒否) が混乱し、その結果として、拒否されているはずのデータ (GET リソース) を取得できてしまうという問題が生じます。レガシー環境の確認が必要です。よろしければ、Apache Tomcat での検索結果も、ご参照ください。