本記事は セキュリティ速報シリーズ第19回 です。
目次
概要
2025年10月27日、「Apache Tomcat」に複数の脆弱性が存在し、最新アップデートで修正されたことが発表された。
CVE-2025-55752は重大な「パストラバーサル」脆弱性で、高いリスクがある。
その他にもサービス拒否(DoS)、Windowsコンソール操作への悪影響が認められている。
詳細
- CVE-2025-55752:「高」重要度。URL書き換え処理の設計ミスにより、外部からリモートコード実行を許す恐れがある。過去の問題が再発したバグである。
- CVE-2025-61795:サービス拒否(DoS)攻撃を招く可能性。一時ファイル削除不備により、保存領域を圧迫。
- CVE-2025-55754:Windows環境でのログ処理に不備。コンソールやクリップボードの改ざんリスク。
- 対策2025年9~10月に公開されたアップデート(11.0.12, 10.1.47, 9.0.110など)でそれぞれ修正済み。早急なアップデート適用が必須。参考情報米CISAも「CVE-2025-55752」をベーススコア7.5(高)、CVE-2025-61795を5.3(中)と評価。業務影響を防ぐためにも、運用者は脆弱性情報に敏感な対応が求められる。
対策
2025年9~10月に公開されたアップデート(11.0.12, 10.1.47, 9.0.110など)でそれぞれ修正済み。早急なアップデート適用が必須。
参考情報
米CISAも「CVE-2025-55752」をベーススコア7.5(高)、CVE-2025-61795を5.3(中)と評価。業務影響を防ぐためにも、運用者は脆弱性情報に敏感な対応が求められる。
※本記事は、当社が2025年10月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
Weekly セキュリティ
- Weekly Report: LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性(CVE-2025-61932)について
- Weekly Report: ISC BIND 9における複数の脆弱性について(2025年10月)
- Weekly Report: WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性(CVE-2025-9242)について
- Weekly Report: JAIPA Cloud Conference 2025開催のお知らせ
- Weekly Report: 経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
