【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|
|---|---|---|---|---|---|---|---|---|---|---|
| 2017/03/14 | 2016/10/18 | CVE-2016-8747 | NVD | Apache | 7.5(NVD) |
CWE-200 | 情報漏えい | |||
| 2017/04/12 | 2017/01/29 | CVE-2017-5647 | NVD | Apache | 7.5(NVD) |
CWE-200 | 情報漏えい | |||
| 2017/04/12 | 2017/01/29 | CVE-2017-5648 | NVD | Apache | 9.1(NVD) |
CWE-668 | 誤った領域へのリソースの露出 | |||
| 2017/04/12 | 2017/01/29 | CVE-2017-5650 | NVD | Apache | 7.5(NVD) |
CWE-404 | リソースの不適切なシャットダウンおよびリリース | |||
| 2017/04/12 | 2017/01/29 | CVE-2017-5651 | NVD | Apache | 9.8(NVD) |
- | - | |||
| 2017/09/19 | 2017/08/07 | CVE-2017-12615 | NVD | Apache | 8.1(NVD) |
CWE-434 | 危険なタイプのファイルの無制限アップロード | |||
| 2017/09/19 | 2017/08/07 | CVE-2017-12616 | NVD | Apache | 7.5(NVD) |
CWE-200 | 情報漏えい | |||
| 2017/09/19 | 2017/08/07 | CVE-2017-12617 | NVD | Apache | 8.1(NVD) |
CWE-434 | 危険なタイプのファイルの無制限アップロード | |||
| 2018/02/23 | 2017/12/07 | CVE-2018-1304 | NVD | Apache | 5.9(NVD) |
- | - | https://jvn.jp/vu/JVNVU95970576/ | ||
| 2018/02/23 | 2017/12/07 | CVE-2018-1305 | NVD | Apache | 6.5(NVD) |
- | - | https://jvn.jp/vu/JVNVU95970576/ | ||
| 2019/12/23 | 2019/05/28 | CVE-2019-12418 | NVD | Apache | 7.0(NVD) |
- | - | |||
| 2020/02/24 | 2019/12/02 | CVE-2020-1938 | NVD | Apache | 9.8(NVD) |
- | - | |||
| 2022/11/02 | 2022/10/03 | CVE-2022-42252 | NVD | Apache | 7.5(NVD) |
CWE-444 CWE-20 |
HTTP リクエストスマグリング 不適切な入力確認 |
|||
| 2023/06/22 | 2023/06/08 | CVE-2023-34981 | NVD | Apache | 7.5(NVD) 7.5(CISA-ADP) |
CWE-732 | 重要なリソースに対する不適切なパーミッションの割り当て | |||
| 2024/11/18 | 2024/11/07 | CVE-2024-52316 | NVD | Apache | 9.8(CISA-ADP) |
CWE-391 | 未チェックのエラー状態 | |||
| 2024/11/18 | 2024/11/07 | CVE-2024-52317 | NVD | Apache | 6.5(CISA-ADP) |
CWE-326 | 不適切な暗号強度 | |||
| 2024/11/18 | 2024/11/07 | CVE-2024-52318 | NVD | Apache | 6.1(CISA-ADP) |
CWE-326 | 不適切な暗号強度 | |||
| 2024/12/17 | 2024/10/23 | CVE-2024-50379 | NVD | Apache | 9.8(CISA-ADP) |
CWE-367 | Time-of-check Time-of-use (TOCTOU) 競合状態 | |||
| 2024/12/17 | 2024/12/05 | CVE-2024-54677 | NVD | Apache | 5.3(CISA-ADP) |
CWE-400 | リソースの枯渇 | |||
| 2024/12/20 | 2024/12/20 | CVE-2024-56337 | NVD | Apache | 9.8(CISA-ADP) |
CWE-367 | Time-of-check Time-of-use (TOCTOU) 競合状態 | |||
| 2025/03/10 | 2025/01/24 | CVE-2025-24813 | NVD | Apache | 未確定 | CWE-44 CWE-502 |
パスの等価性: 'file.name' (内部ドット) 信頼できないデータのデシリアライゼーション |
- | Apache Tomcat, PoC 存在 |
【ニュース】
■2017年
◇2017年3月
◆「Apache Tomcat」に情報漏洩の脆弱性 - アップデートで修正 (Security NEXT, 2017/03/17)
http://www.security-next.com/079694
⇒ https://vul.hatenadiary.com/entry/2017/03/17/000000
◇2017年4月
◆Apache Tomcatに情報窃取の脆弱性 (マイナビニュース, 2017/04/14)
http://news.mynavi.jp/news/2017/04/14/075/
⇒ https://vul.hatenadiary.com/entry/2017/04/14/000000
◇2017年9月
◆「Apache Tomcat」にゼロデイ脆弱性 - 緩和策の実施を (Security NEXT, 2017/09/26)
http://www.security-next.com/086123
⇒ https://vul.hatenadiary.com/entry/2017/09/26/000000
■2018年
◇2018年2月
◆Apache Tomcatに複数の脆弱性、アップデート推奨 (マイナビニュース, 2018/02/24)
https://news.mynavi.jp/article/20180224-588506/
⇒ https://vul.hatenadiary.com/entry/2018/02/24/000000
■2019年
◇2019年12月
◆「Apache Tomcat」に2件の脆弱性 - 一部は旧版でも対応 (Security NEXT, 2019/12/20)
http://www.security-next.com/110907
⇒ https://vul.hatenadiary.com/entry/2019/12/20/000000
■2020年
◇2020年2月
◆「Apache Tomcat」にリモートよりコードを実行されるおそれ (Security NEXT, 2020/02/25)
http://www.security-next.com/112598
⇒ https://vul.hatenadiary.com/entry/2020/02/25/000000
■2022年
◇2022年11月
◆Apache Tomcatに重要度の高い脆弱性、ただちにアップデートを (マイナビニュース, 2022/11/04 20:31)
https://news.mynavi.jp/techplus/article/20221104-2503777/
⇒ https://vul.hatenadiary.com/entry/2022/11/04/000000
■2023年
◇2023年6月
◆Apache Tomcatに新たな脆弱性、情報漏洩を引き起こす恐れ (マイナビニュース, 2023/06/23 13:46)
https://news.mynavi.jp/techplus/article/20230623-2711075/
⇒ https://vul.hatenadiary.com/entry/2023/06/23/000000_1
◇2023年12月
◆「Apache Tomcat」にリクエストスマグリングの脆弱性 (Security NEXT, 2023/12/01)
https://www.security-next.com/151560
⇒ https://vul.hatenadiary.com/entry/2023/12/01/000000
■2024年
◇2024年11月
◆「Apache Tomcat」に複数脆弱性 - 10月と11月の更新で修正 (Security NEXT, 2024/11/21)
https://www.security-next.com/164468
⇒ https://vul.hatenadiary.com/entry/2024/11/21/000000_1
◇2024年12月
◆「Apache Tomcat」に競合状態からコード実行が可能となる脆弱性 (Security NEXT, 2024/12/18)
https://www.security-next.com/165419
⇒ https://vul.hatenadiary.com/entry/2024/12/18/000000
◆「Apache Tomcat」に脆弱性 - 前回修正の不備が判明 (Security NEXT, 2024/12/23)
https://www.security-next.com/165576
⇒ https://vul.hatenadiary.com/entry/2024/12/23/000000
■2025年
◇2025年3月
◆「Apache Tomcat」にRCEや情報漏洩のおそれ - 2月の更新で修正済み (Security NEXT, 2025/03/11)
https://www.security-next.com/168047
⇒ https://vul.hatenadiary.com/entry/2025/03/11/000000
◆Critical RCE flaw in Apache Tomcat actively exploited in attacks (BleepingComputer, 2025/03/17 09:29)
[攻撃に悪用されるApache TomcatのRCEに関する重大な欠陥]
https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2025/03/17/000000
◆Apache Tomcat Vulnerability Actively Exploited Just 30 Hours After Public Disclosure (The Hacker News, 2025/03/17)
[Apache Tomcatの脆弱性、公開からわずか30時間で積極的に悪用される]
https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html
⇒ https://vul.hatenadiary.com/entry/2025/03/17/000000_1
◆「Apache Tomcat」の脆弱性攻撃が発生 - 「WAF」回避のおそれも (Security NEXT, 2025/03/18)
https://www.security-next.com/168301
⇒ https://vul.hatenadiary.com/entry/2025/03/18/000000
【公開情報】
■2017年
◇2017年3月
◆Apache Tomcat に情報漏えいの脆弱性 (JVN, 2017/03/14)
https://jvn.jp/vu/JVNVU94686945/index.html
⇒ https://vul.hatenadiary.com/entry/2017/03/17/000000
◇2017年9月
◆Apache Tomcat における脆弱性に関する注意喚起 (JPCERT/CC, 2017/09/20)
http://www.jpcert.or.jp/at/2017/at170038.html
⇒ https://vul.hatenadiary.com/entry/2017/09/20/000000
【関連まとめ記事】
◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application
