JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2022年6月24日、「JVNVU#92304549: Apache Tomcatのexamplesにおけるクロスサイトスクリプティングの脆弱性」において、オープンソースのWebコンテナ「Apache Tomcat」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。
脆弱性に関する情報は次のページにまとまっている。
- Apache Tomcat - Apache Tomcat 10 vulnerabilities
- Apache Tomcat - Apache Tomcat 10 vulnerabilities
- Apache Tomcat - Apache Tomcat 9 vulnerabilities
- Apache Tomcat - Apache Tomcat 8 vulnerabilities
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache Tomcat バージョン10.1.0-M1から10.1.0-M16
- Apache Tomcat バージョン10.0.0-M1から10.0.22
- Apache Tomcat バージョン9.0.30から9.0.64
- Apache Tomcat バージョン8.5.50から8.5.81
脆弱性が修正される予定になっているプロダクトおよびバージョンは次のとおり。
- Apache Tomcat バージョン10.1.0-M17
- Apache Tomcat バージョン10.0.23
- Apache Tomcat バージョン9.0.65
- Apache Tomcat バージョン8.5.82
JPCERT/CCは開発者の提供する情報に基づいてワークアラウンド実施することや、今後修正版の提供が開始されたあとでアップデートを適用することを推奨している。