Apache Tomcat 9.0.13< 9.0.120の複数の脆弱性

critical Nessus プラグイン ID 326730

概要

リモートの Apache Tomcat サーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Tomcat のバージョンは 9.0.120より前です。したがって、fixed_in_apache_tomcat_9.0.120_security-9のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Apache Tomcat のリライトバルブにおける URL エンコーディング(16 進数エンコーディング)脆弱性の不適切な処理により、一部の構成でセキュリティ制約のバイパスが引き起こされる可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.23 まで、10.1.0-M1 から 10.1.56 まで、9.0.0.M1 から 9.0.119 まで、8.5.0 から 8.5.100 まで。サポート終了となったその他のバージョンも、影響を受ける可能性があります。ユーザーには、この問題を修正したバージョン 11.0.24、10.1.57、または 9.0.120 へのアップグレードをお勧めします。(CVE-2026-59083)

- EncryptInterceptor を安全に構成するための要件が明確に文書化されていなかったため、Apache Tomcat では技術文書の不十分な脆弱性が存在します。この問題は、11.0.0-M1 から 11.0.23、10.1.0-M1 から 10.1.56、9.0.13 から 9.0.119、8.5.38 から 8.5.100、7.0.100 から 7.0.109 の Apache Tomcat に影響します。サポート終了となったその他のバージョンも、影響を受ける可能性があります。ユーザーには、この問題が修正されているバージョン 11.0.24、10.1.57、9.0.120 へのアップグレードをお勧めします。
(CVE-2026-59084)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache Tomcat バージョン 9.0.120 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?7845a9f1

http://www.nessus.org/u?a2f88b3a

http://www.nessus.org/u?a758e4ab

プラグインの詳細

深刻度: Critical

ID: 326730

ファイル名: tomcat_9_0_120.nasl

バージョン: 1.2

タイプ: Combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2026/7/14

更新日: 2026/7/15

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.3

パーセンタイル: 53.7

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2026-59083

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-59084

脆弱性情報

CPE: cpe:/a:apache:tomcat:9

必要な KB アイテム: installed_sw/Apache Tomcat

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/7

脆弱性公開日: 2026/7/7

参照情報

CVE: CVE-2026-59083, CVE-2026-59084