概要
リモートの Apache Tomcat サーバーは、複数の脆弱性の影響を受けます。
説明
リモートホストにインストールされている Tomcat のバージョンは 9.0.119より前です。したがって、fixed_in_apache_tomcat_9.0.119_security-9のアドバイザリに記載されている複数の脆弱性の影響を受けます。
- Web ページでのスクリプト関連の HTML タグの不適切な中和(基本的な XSS)Apache Tomcat の数値推測例の脆弱性。この問題は、11.0.0-M1 から 11.0.22、10.1.0-M1 から 10.1.55、9.0.0.M1 から 9.0.118、8.5.0 から 8.5.100、7.0.0 から 7.0.109 の Apache Tomcat に影響します。サポート終了となったその他のバージョンも、影響を受ける可能性があります。ユーザーには、この問題を修正したバージョン 11.0.23、10.1.56、または 9.0.119 へのアップグレードをお勧めします。(CVE-2026-50229)
- Apache Tomcat の不適切な認証の脆弱性により、デフォルトのサーブレットにセキュリティ制約が指定され、制約の一部として構成されたメソッドまたはメソッドの省略が無視されます。この問題は、11.0.0-M1 から 11.0.22、10.1.0-M1 から 10.1.55、9.0.0.M1 から 9.0.118、8.5.0 から 8.5.100、7.0.0 から 7.0.109 の Apache Tomcat に影響します。サポート終了となったその他のバージョンも、影響を受ける可能性があります。ユーザーには、この問題を修正したバージョン 11.0.23、10.1.56、または 9.0.119 へのアップグレードをお勧めします。(CVE-2026-55956)
- Apache Tomcat の不適切な認証の脆弱性により、クラスターコンポーネントの EncryptionInterceptor に対するリプレイ攻撃が可能です。この問題は、11.0.0-M1 から 11.0.22、10.1.0-M1 から 10.1.55、9.0.13 から 9.0.18、8.5.38 から 8.5.100、7.0.100 から 7.0.109 の Apache Tomcat に影響します。ユーザーは、この問題を修正するバージョン 11.0.23、 10.1.56、 9.0.119 にアップグレードすることをお勧めします。(CVE-2026-55955)
- 常に不適切なコントロールフロー Apache Tomcat の実装の脆弱性は、有効なweb.xmlが記録される際に、特別なロールと空の承認制約が含まれないことを意味します。この問題は、11.0.0-M1 から 11.0.22、10.1.0-M1 から 10.1.55、 9.0.0.M1 から 9.0.118、 8.5.0 から 8.5.100 のApache Tomcatに影響を与えます。サポート終了となったその他のバージョンも、影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.23、 10.1.56 または 9.0.119 にアップグレードすることをお勧めします。
(CVE-2026-55276)
- FFM ベースのコネクタ用に CRL を構成する際の、Apache Tomcat におけるアクションのないエラー状態の脆弱性の検出。この問題は、11.0.0-M1から 11.0.22まで、10.1.0-M7から 10.1.55まで、 9.0.83 から 9.0.118までのApache Tomcatに影響を与えます。ユーザーには、この問題を修正したバージョン 11.0.23、10.1.56、または 9.0.119 へのアップグレードをお勧めします。(CVE-2026-53434)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache Tomcat バージョン 9.0.119 以降にアップグレードしてください。
プラグインの詳細
ファイル名: tomcat_9_0_119.nasl
エージェント: windows, macosx, unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:tomcat:9
必要な KB アイテム: installed_sw/Apache Tomcat
エクスプロイトの容易さ: No known exploits are available