リモートホストにインストールされている Tomcat のバージョンは 10.1.55より前です。したがって、fixed_in_apache_tomcat_10.1.55_security-10 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - DEPRECATED: Apache Tomcat のダイジェスト認証における認証バイパスの問題の脆弱性。この問題は、11.0.0-M1 から 11.0.21、10.1.0-M1 から 10.1.54、9.0.0.M1 から 9.0.117、8.5.0 から 8.5.100、7.0.0 より前の Apache Tomcat に影響します。より古いサポートされないバージョンにも影響します。ユーザーには、この問題が修正されているバージョン 11.0.22、10.1.55、9.0.118 へのアップグレードをお勧めします。
    (CVE-2026-43512)

  - 複数のメソッド制約により、Apache Tomcat の同一拡張に対して HTTP メソッドが定義されている場合の不適切な認証の脆弱性。この問題は、11.0.0-M1 から 11.0.21、10.1.0-M1 から 10.1.54、9.0.0.M1 から 9.0.117、8.5.0 から 8.5.100、7.0.0 から 7.0.109 の Apache Tomcat に影響します。ユーザーには、この問題が修正されているバージョン 11.0.22、10.1.55、9.0.118 へのアップグレードをお勧めします。
    (CVE-2026-43515)

  - Apache Tomcat で AJP シークレットを比較するときに観察可能なタイミング不一致の脆弱性。この問題は、11.0.0-M1 から 11.0.21、10.1.0-M1 から 10.1.54、9.0.0.M1 から 9.0.117、8.5.0 から 8.5.100、7.0.0 から 7.0.109 の Apache Tomcat に影響します。より古いサポートされないバージョンにも影響する可能性があります。ユーザーには、この問題が修正されているバージョン 11.0.22、10.1.55、9.0.118 へのアップグレードをお勧めします。
    (CVE-2026-43514)

  - Apache Tomcat の LockOutRealm における大文字小文字の区別の不適切な処理の脆弱性。この問題は、11.0.0-M1 から 11.0.21、10.1.0-M1 から 10.1.54、9.0.0.M1 から 9.0.117、8.5.0 から 8.5.100、7.0.0 から 7.0.109 の Apache Tomcat に影響します。より古いサポートされないバージョンにも影響する可能性があります。ユーザーには、この問題が修正されているバージョン 11.0.22、10.1.55、9.0.118 へのアップグレードをお勧めします。
    (CVE-2026-43513)

  - Apache Tomcat での WebSocket 認証の際に、予期しないホストへの HTTP 認証ヘッダーの漏洩の脆弱性。この問題は、11.0.0-M1 から 11.0.21、10.1.0-M1 から 10.1.54、9.0.2 から 9.0.117、8.5.24 から 8.5.100、7.0.83 から 7.0.109 の Apache Tomcat に影響します。ユーザーには、この問題を修正したバージョン 11.0.22、10.1.55、または 9.0.118 へのアップグレードをお勧めします。(CVE-2026-42498)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache Tomcat 10.1.0.M1< 10.1.55の複数の脆弱性

critical Nessus プラグイン ID 314335

バージョン 1.4

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.4 Jun 10, 2026, 9:22 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202606102122
バージョン 1.3 May 26, 2026, 6:39 PM CVSS metrics ("CVSSv2 score" set to 10.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") Plugin metadata Plugin Feed: 202605261839
バージョン 1.2 May 15, 2026, 6:15 PM Plugin metadata (Add IAVM Info) Plugin Feed: 202605151815
バージョン 1.1 May 12, 2026, 10:34 PM New Plugin Feed: 202605122234