ISSコラム

CVE-2025-24813について

この脆弱性のCVSS v3.1​スコアは5.5（Mediumに分類）であり、一般的には対応の優先順位は高くないものとして扱われます。

Apache Tomcatのpartial PUTの実装では、ユーザーが指定したファイル名とパスを基にパス区切り文字を「.」に置き換えた一時ファイルが使用されています。特定の条件下でリモートコード実行、セキュリティ上重要なファイルの表示やコンテンツ挿入の可能性があります。​

攻撃にはセッション ファイルを細工したペイロードを書き込み可能なディレクトリ (例: /uploads/../sessions/など) にアップロードすると、デシリアライゼーションをトリガーし、ターゲット サーバー上で任意のコマンドを実行させることができます。​本脆弱性の概念実証 (PoC) スクリプトが2025年3月14日にGitHub上で公開されました。​
次の流れで脆弱性を攻撃することが可能です。

PUT APIリクエストを通じたシリアライズされたJavaセッションのアップロード
GETリクエスト内でのデシリアライゼーションのトリガーし、1で埋め込まれたJavaコードを実行

この脆弱性への攻撃が成功するにはweb.xml内のデフォルトサーブレットのreadonlyプロパティがfalseである必要があります。この設定はディフォルトでtrueになっており、通常はこの脆弱性の影響は受けません。web.xmlの設定を確認してください。もしデフォルトサーブレットのreadonlyプロパティがfalseであった場合、回避策としてtrueに設定することを強く推奨します。この条件が成り立つ場合、容易に攻撃が成立し、かつWAF等による検知が難しいためです。

対応
脆弱性が修正された下記 Tomcatバージョンにアップグレードします。​
　11.0.3 以降​
　10.1.35 以降​
　9.0.99 以降​

本脆弱性の影響を受ける Tomcatバージョンは以下のとおりです。​
　11.0.0-M1 – 11.0.2​
　10.1.0-M1 – 10.1.34​
　9.0.0-M1 – 9.0.98