検出

Apache Tomcat 9.0.92< 9.0.117の複数の脆弱性

high Nessus プラグイン ID 307003

Language:

概要

リモートの Apache Tomcat サーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Tomcat のバージョンは 9.0.117より前です。したがって、fixed_in_apache_tomcat_9.0.117_security-9 アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Apache Tomcatのクラスタリングコンポーネント用のクラウドメンバーシップにあるログファイルへの秘密情報の挿入の脆弱性により、Kubernetesベアラートークンが漏えいされました。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.20 まで、10.1.0-M1 から 10.1.53 まで、9.0.13 から 9.0.116 まで。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、または 9.0.117 へのアップグレードをお勧めします。(CVE-2026-34487)

 - ソフトフェイルが無効で、FFM が Apache Tomcat で使用されている場合、CLIENT_CERT 認証は、一部のシナリオで想定通りに失敗しません。この問題は Apache Tomcat に影響を与えます 11.0.0-M14 から 11.0.20、 10.1.53から [ 10.1.22 、 9.0.92 から 9.0.116。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、または 9.0.117 へのアップグレードをお勧めします。(CVE-2026-34500)

 - EncryptInterceptor のバイパスが可能になる CVE-2026-29146 に対する修正が原因で、Apache Tomcat に機密データの暗号化の欠如の脆弱性が存在します。この問題は Apache Tomcat に影響します 11.0.20、 10.1.53、 9.0.116。ユーザーには、この問題を修正したバージョン 11.0.21、10.1.54、9.0.117 へのアップグレードをお勧めします。
 (CVE-2026-34486)

 - Apache TomcatのJsonAccessLogValveコンポーネントにおける不適切なエンコードまたは出力のエスケープの脆弱性。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.20 まで、10.1.0-M1 から 10.1.53 まで、9.0.40 から 9.0.116 まで。ユーザーは、この問題を修正するバージョン 11.0.21、 10.1.54 、または 9.0.117 にアップグレードすることが推奨されます。CVE-2026-34483

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache Tomcat バージョン 9.0.117 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?6163db21

http://www.nessus.org/u?8b0e6ff1

http://www.nessus.org/u?6dbc2b20

http://www.nessus.org/u?d958092b

http://www.nessus.org/u?66d56d5e

プラグインの詳細

深刻度: High

ID: 307003

ファイル名: tomcat_9_0_117.nasl

バージョン: 1.1

タイプ: Combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2026/4/17

更新日: 2026/4/17

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2026-34487

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:tomcat:9

必要な KB アイテム: installed_sw/Apache Tomcat

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/3

脆弱性公開日: 2026/4/4

参照情報

CVE: CVE-2026-34483, CVE-2026-34486, CVE-2026-34487, CVE-2026-34500