Apache Tomcat の脆弱性 CVE-2026-55957/55956 が FIX:認証バイパスの恐れ

Multiple Apache Tomcat Vulnerabilities Allow Attackers to Bypass Authentication

2026/07/01 CyberSecurityNews — Apache Software Foundation が公開したのは、Web アプリケーションを保護する認証およびセキュリティ制約のバイパスを、攻撃者に対して許す可能性がある Apache Tomcat の脆弱性 CVE-2026-55957CVE-2026-55956 である。これらの欠陥は、広く導入されているサーブレット・コンテナの複数の主要バージョンに影響するものであるため、各種のエンタープライズ環境に対して緊急のアップグレードが推奨されている。

CVE-2026-55957:JNDIRealm の認証バイパス

この脆弱性 CVE-2026-55957 (Important) は、GSSAPI による認証済みバインドでコンフィグされた場合において、Tomcat の JNDIRealm コンポーネントに影響を及ぼす。この欠陥は、デフォルト・サーブレットに対する不適切なセキュリティ制約に起因する。アクセス・ルール内でコンフィグされた HTTP メソッド/メソッド除外が、暗黙のうちに無視されていた。

この挙動により、攻撃者は意図されたアクセス制限を実質的にバイパスし、適切な認証を経ずに保護されたリソースへ到達できる。

影響を受けるバージョン:

  • Apache Tomcat 11.0.0-M1 〜 11.0.4
  • Apache Tomcat 10.1.0-M1 〜 10.1.36
  • Apache Tomcat 9.0.0.M1 〜 9.0.100
  • サポート対象外の古いブランチも脆弱な可能性がある

ユーザーにとって必要なことは、Tomcat 11.0.5/10.1.37/9.0.101 以降へのアップグレードである。この問題は、セキュリティ研究者 Ilan Toyter により責任ある形で開示された。

CVE-2026-55956:デフォルト・サーブレットの制約バイパス

2 つ目の脆弱性 CVE-2026-55956 (Moderate) も、同じ問題に起因している。デフォルト・サーブレットで定義されたセキュリティ制約が、コンフィグされた HTTP メソッド/メソッド除外を適切に強制していない。CVE-2026-55957 と比べて深刻度が低いが、この問題は、より広範な Tomcat リリースに影響を及ぼす。それが示すのは、この欠陥が検出されるまでの期間において、複数のリリース・サイクルにわたって存在していたことである。

影響を受けるバージョン:

  • Apache Tomcat 11.0.0-M1 〜 11.0.22
  • Apache Tomcat 10.1.0-M1 〜 10.1.55
  • Apache Tomcat 9.0.0.M1 〜 9.0.118
  • サポート対象外の古いブランチも脆弱な可能性がある

修正:Tomcat 11.0.23/10.1.56/9.0.119 以降へのアップグレード。

この 2 つの脆弱性は、デフォルト・サーブレットに適用される、Tomcat における定義の処理に影響を及ぼす。たとえば、特定の HTTP メソッドにアクセス制御を適用する管理者が、GET を許可しながら PUT/DELETE を制限する場合に、こうしたメソッド・レベルの制限に対して、Tomcat のリクエスト照合ロジックが一貫して適用されていなかった。

実際には、メソッド・ベースのルールで保護されていると想定されていたエンドポイントが、制限されていない動詞を介してアクセス可能な状態になっていた。これにより、機密性の高いリソースまたは管理機能に対する、不正アクセスの経路が生じる。

影響を受ける Tomcat インスタンスを実行している組織は、このパッチの適用を優先すべきである。

特にデフォルト・サーブレットが機密性の高いコンテンツを処理する場合や、LDAP をバックエンドとする認証に GSSAPI バインドを用いる JNDIRealm が利用されている場合には、深刻な影響が生じることになる。

Apache Software Foundation は、アップグレード以外の回避策を示していない。そのため、パッチ適用済みリリースの適用が、唯一の信頼できる緩和策である。アップグレード後に管理者は、既存の web.xml セキュリティ制約も監査し、意図したアクセス制御が設計どおりに機能することを確認すべきである。