Linux Distros のパッチ未適用の脆弱性: CVE-2025-55754
critical Nessus プラグイン ID 271820
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。参考資料
https://access.redhat.com/security/cve/cve-2025-55754
プラグインの詳細
深刻度: Critical
ID: 271820
ファイル名: unpatched_CVE_2025_55754.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/10/28
更新日: 2025/10/29
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.2
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2025-55754
CVSS v3
リスクファクター: Critical
基本値: 9.6
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C
脆弱性情報
CPE: cpe:/o:centos:centos:7, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:8, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:centos:centos:tomcat6, p-cpe:/a:centos:centos:tomcat6-admin-webapps, p-cpe:/a:centos:centos:tomcat6-docs-webapp, p-cpe:/a:centos:centos:tomcat6-el-2.1-api, p-cpe:/a:centos:centos:tomcat6-javadoc, p-cpe:/a:centos:centos:tomcat6-jsp-2.1-api, p-cpe:/a:centos:centos:tomcat6-lib, p-cpe:/a:centos:centos:tomcat6-servlet-2.5-api, p-cpe:/a:centos:centos:tomcat6-webapps, p-cpe:/a:centos:centos:tomcat, p-cpe:/a:centos:centos:tomcat-admin-webapps, p-cpe:/a:centos:centos:tomcat-docs-webapp, p-cpe:/a:centos:centos:tomcat-el-2.2-api, p-cpe:/a:centos:centos:tomcat-javadoc, p-cpe:/a:centos:centos:tomcat-jsp-2.2-api, p-cpe:/a:centos:centos:tomcat-jsvc, p-cpe:/a:centos:centos:tomcat-lib, p-cpe:/a:centos:centos:tomcat-servlet-3.0-api, p-cpe:/a:centos:centos:tomcat-webapps, p-cpe:/a:centos:centos:jss, p-cpe:/a:redhat:enterprise_linux:tomcat6, p-cpe:/a:redhat:enterprise_linux:tomcat6-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat6-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-el-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat6-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-lib, p-cpe:/a:redhat:enterprise_linux:tomcat6-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat6-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat, p-cpe:/a:redhat:enterprise_linux:tomcat-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat-el-2.2-api, p-cpe:/a:redhat:enterprise_linux:tomcat-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat-jsp-2.2-api, p-cpe:/a:redhat:enterprise_linux:tomcat-jsvc, p-cpe:/a:redhat:enterprise_linux:tomcat-lib, p-cpe:/a:redhat:enterprise_linux:tomcat-servlet-3.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat-webapps, p-cpe:/a:redhat:enterprise_linux:pki-servlet-4.0-api, p-cpe:/a:redhat:enterprise_linux:jss, p-cpe:/a:redhat:enterprise_linux:pki-servlet-engine, p-cpe:/a:canonical:ubuntu_linux:tomcat9, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:pki-servlet-4.0-api, p-cpe:/a:centos:centos:pki-servlet-engine, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:redhat:enterprise_linux:9, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:tomcat10, p-cpe:/a:redhat:enterprise_linux:tomcat-el-3.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat-jsp-2.3-api, p-cpe:/a:redhat:enterprise_linux:tomcat-servlet-4.0-api, p-cpe:/a:centos:centos:tomcat-el-3.0-api, p-cpe:/a:centos:centos:tomcat-jsp-2.3-api, p-cpe:/a:centos:centos:tomcat-servlet-4.0-api, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:redhat:enterprise_linux:idm-jss, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:canonical:ubuntu_linux:tomcat10, cpe:/o:canonical:ubuntu_linux:25.04, p-cpe:/a:redhat:enterprise_linux:tomcat-el-5.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat-jsp-3.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat-servlet-6.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat9, p-cpe:/a:redhat:enterprise_linux:tomcat9-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat9-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat9-el-3.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat9-jsp-2.3-api, p-cpe:/a:redhat:enterprise_linux:tomcat9-lib, p-cpe:/a:redhat:enterprise_linux:tomcat9-servlet-4.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat9-webapps, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:debian:debian_linux:tomcat11, p-cpe:/a:centos:centos:tomcat-el-5.0-api, p-cpe:/a:centos:centos:tomcat-jsp-3.1-api, p-cpe:/a:centos:centos:tomcat-servlet-6.0-api, p-cpe:/a:centos:centos:tomcat9, p-cpe:/a:centos:centos:tomcat9-admin-webapps, p-cpe:/a:centos:centos:tomcat9-docs-webapp, p-cpe:/a:centos:centos:tomcat9-el-3.0-api, p-cpe:/a:centos:centos:tomcat9-jsp-2.3-api, p-cpe:/a:centos:centos:tomcat9-lib, p-cpe:/a:centos:centos:tomcat9-servlet-4.0-api, p-cpe:/a:centos:centos:tomcat9-webapps, p-cpe:/a:centos:centos:tomcat6-log4j, p-cpe:/a:centos:centos:idm-jss, p-cpe:/a:centos:centos:idm-jss-tomcat, p-cpe:/a:redhat:enterprise_linux:idm-jss-tomcat, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:canonical:ubuntu_linux:tomcat11
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2025/9/5
参照情報
CVE: CVE-2025-55754