つみかさね

CVE-2026-41293

Critical(9.8)

CVE-2026-41293 — Apache Tomcat 入力検証不備による不正操作

公開日: 2026-05-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache TomcatApache Software Foundation9.0.0.M1〜9.0.117 / 10.0.x / 10.1.0-M1〜10.1.54 / 11.0.0-M1〜11.0.21

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1稼働中の Tomcat バージョンを確認する(catalina.sh version または logs/catalina.out で確認)
  2. 2Tomcat 11.0.22、10.1.55、9.0.118 以降へアップグレードする
  3. 3アップグレードが困難な場合は Apache のセキュリティアドバイザリで公開される回避策を確認する
  4. 4アップグレード後に動作確認テストを実施する

影響対象

Apache Tomcat 利用者全般

補足

  • -Tomcat 8.5.x と 7.x のサポート状況を確認し、必要に応じてメジャーバージョンアップを検討してください
CVEApache Tomcat入力検証Critical

概要

Apache Tomcat のリクエスト処理における入力検証に問題が存在します。特定の条件を満たした場合、リモートの攻撃者が不正な操作を行える可能性があります。CVSSスコアは 9.8 と非常に高く、パッチの早急な適用が推奨されます。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
Base Score9.8 (Critical)

影響を受けるソフトウェア

製品影響バージョン
Apache Tomcat 11.x11.0.0-M1 〜 11.0.21
Apache Tomcat 10.1.x10.1.0-M1 〜 10.1.54
Apache Tomcat 10.0.x10.0.0-M1 〜 10.0.27
Apache Tomcat 9.x9.0.0.M1 〜 9.0.117

修正バージョンと回避策

以下のバージョンへのアップグレードが推奨されます:

  • Tomcat 11.x: 11.0.22 以降
  • Tomcat 10.1.x: 10.1.55 以降
  • Tomcat 9.x: 9.0.118 以降

Tomcat 8.5.x および 7.x はサポート状況を確認の上、可能であれば新しいメジャーバージョンへの移行を検討してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-43515Apache Tomcat HTTP メソッド制約の不正認可CVSS 9.1CVE-2026-43512Apache Tomcat ダイジェスト認証バイパス(DEPRECATED)CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41293
oss-security:http://www.openwall.com/lists/oss-security/2026/05/12/13
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。