Apache Tomcat パス等価性リモートコード実行

critical Web App Scanning プラグイン ID 114690

概要

Apache Tomcat パス等価性リモートコード実行

説明

Apache Tomcat のデフォルトサーブレットにあるパス等価性の脆弱性は、バージョン 11.0.0-M1 ~ 11.0.2、10.1.0-M1 ~ 10.1.34、および 9.0.0.M1 ~ 9.0.98 に影響を与えます。書き込みの有効化と部分的な PUT サポートを含む特定のデフォルト以外の設定では、攻撃者がリモートコードを実行したり、情報を漏洩したり、アップロードされたファイルに悪意のあるコンテンツを挿入したりする可能性があります。

このプラグインを使用するには、スキャン設定で「File Upload」評価オプションを有効にする必要があります。

ソリューション

Apache Tomcat をバージョン 11.0.3、10.1.35、または 9.0.99 以降にアップグレードしてください。

参考資料

https://scrapco.de/blog/analysis-of-cve-2025-24813-apache-tomcat-path-equivalence-rce.html

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-11.html

https://tomcat.apache.org/security-9.html

プラグインの詳細

深刻度: Critical

ID: 114690

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2025/4/4

更新日: 2025/4/4

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Critical

スコア: 9.6

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-24813

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2025-24813

CVSS v4

リスクファクター: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2025-24813

脆弱性情報

CPE: cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/2/10

脆弱性公開日: 2025/2/9

CISA の既知の悪用された脆弱性の期限日: 2025/4/22

参照情報

CVE: CVE-2025-24813