【要点】
◎Apache Tomcatに中・低の脆弱性3件。TLS検証不備やOCSP処理不備などで、1月公開の最新版で修正済み (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2026/02/17 | 2025/12/05 | CVE-2025-66614 | NVD | Apache | - | CWE-20 | 不適切な入力確認 | - | Apache Tomcat |
| 2026/02/17 | 2026/01/26 | CVE-2026-24734 | NVD | Apache | - | CWE-20 | 不適切な入力確認 | - | Apache Tomcat |
| 2026/02/17 | 2026/01/26 | CVE-2026-24733 | NVD | Apache | - | CWE-20 | 不適切な入力確認 | - | Apache Tomcat |
【要約】
Apache Tomcatに複数の脆弱性が判明し、1月下旬公開の更新版で修正された。CVE-2025-66614はTLSのSNIとHostヘッダの検証不備により認証回避の恐れ、CVE-2026-24734はOCSP応答検証不十分で失効証明書を受け入れる可能性がある。CVE-2026-24733はHTTP/0.9のHEAD要求で機能を迂回される恐れがある。最新版への更新が推奨される。
【ニュース】
◆「Apache Tomcat」に複数脆弱性 - 1月の更新でいずれも修正済み (Security NEXT, 2026/02/20)
https://www.security-next.com/181260
【関連まとめ記事】
◆Apache Tomcat (まとめ)
https://vul.hatenadiary.com/entry/Apache_Tomcat
