つみかさね

CVE-2026-43515

Critical(9.1)

CVE-2026-43515 — Apache Tomcat HTTP メソッド制約の不正認可

公開日: 2026-05-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache TomcatApache Software Foundation7.0.0〜7.0.109 / 8.5.0〜8.5.100 / 9.0.0.M1〜9.0.117 / 10.1.0-M1〜10.1.54 / 11.0.0-M1〜11.0.21

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1稼働中の Tomcat バージョンを確認する
  2. 2同一拡張子に複数の HTTP メソッド制約を設定しているか web.xml を確認する
  3. 3Tomcat 11.0.22、10.1.55、9.0.118 以降へアップグレードする
  4. 47.x / 8.5.x 利用者はサポート終了バージョンのため移行を検討する

影響対象

Apache Tomcat 利用者(特にメソッド制約を使用している環境)

補足

  • -HTTP メソッド制約を使用していない環境では影響を受けない可能性があります
CVEApache Tomcat認可Critical

概要

Apache Tomcat において、同一の拡張子(extension)に対して複数の HTTP メソッド制約を定義している場合、認可チェックが意図通りに機能しない問題があります。攻撃者はこの不正な認可処理を悪用して、保護されているリソースへアクセスできる可能性があります。

Tomcat 7.x から 11.x まで広い範囲が影響を受けており、EOL バージョン(7.x / 8.5.x)を使用している環境では特に注意が必要です。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
Base Score9.1 (Critical)

影響を受けるソフトウェア

製品影響バージョン
Apache Tomcat 11.x11.0.0-M1 〜 11.0.21
Apache Tomcat 10.1.x10.1.0-M1 〜 10.1.54
Apache Tomcat 9.x9.0.0.M1 〜 9.0.117
Apache Tomcat 8.5.x8.5.0 〜 8.5.100
Apache Tomcat 7.x7.0.0 〜 7.0.109

修正バージョンと回避策

以下のバージョンへのアップグレードが推奨されます:

  • Tomcat 11.x: 11.0.22 以降
  • Tomcat 10.1.x: 10.1.55 以降
  • Tomcat 9.x: 9.0.118 以降
  • Tomcat 8.5.x / 7.x: サポート終了バージョンのため、9.0.118 以降への移行を推奨

回避策:同一拡張子に対する複数の HTTP メソッド制約の定義を見直し、制約を一つにまとめることで影響を軽減できる可能性があります。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41293Apache Tomcat 入力検証不備CVSS 9.8CVE-2026-43512Apache Tomcat ダイジェスト認証バイパス(DEPRECATED)CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-43515
oss-security:http://www.openwall.com/lists/oss-security/2026/05/12/11
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。