Apache Tomcatにおける複数の脆弱性(2026年7月14日)
この発表の要点
- Apache Tomcatに複数の脆弱性が確認され、アドバイザリが公開された。
- CVE-2026-59083はURLデコードの不備によるセキュリティ制御バイパス、CVE-2026-59084はEncryptInterceptorの要件に関する問題。
- これらの脆弱性はApache Tomcatの特定バージョン(11.0.24, 10.1.57, 9.0.120)で修正済み。
企業・自治体への影響
Apache Tomcatを利用している企業や自治体は、自社システムが脆弱性の影響を受ける可能性があるため、情報システム部門を中心に早急な対応が求められます。
対応すべきこと
- 自社システムで利用しているApache Tomcatのバージョンを確認する。
- 脆弱性の影響を受けるバージョンを使用している場合、速やかに修正済みバージョンへアップデートを検討する。
- The Apache Software FoundationおよびJPCERT/CCの公式アドバイザリで詳細情報を確認する。
対象部門: 経営者 情シス
対応期限:速やかに確認
基本データ
| 企業・団体 | The Apache Software Foundation |
|---|---|
| 業界 | IT・ソフトウェア |
| 発表日 | 2026-07-14 |
| 分類 | サイバーセキュリティ |
発表された内容
2026年7月14日)
The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2026-59083、CVE-2026-59084)に対してアドバイザリが公開されました。
Apache Tomcatのアドバイザリを参照してください。
Fixed in Apache Tomcat 11.0.24
Fixed in Apache Tomcat 10.1.57
Fixed in Apache Tomcat 9.0.120
Apache Tomcatのアドバイザリを参照してください。
Apache Tomcatのアドバイザリを参照してください。
ベンダ
リンク
The Apache Software Foundation
[SECURITY] CVE-2026-59083 Apache Tomcat – Incorrect URL decoding in RewriteValve may allow security control bypass
[SECURITY] CVE-2026-59084 Apache Tomcat – EncryptInterceptor requirements not clearly documented
Fixed in Apache Tomcat 11.0.24
Fixed in Apache Tomcat 10.1.57
Fixed in Apache Tomcat 9.0.120
JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia
Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.
出典: jvn@jvn.jp
URL: https://jvn.jp/vu/JVNVU95286373/
時系列
- 2026-07-14 The Apache Software Foundationから、Apache Tomcatの脆弱性(CVE-2026-59083、CVE-2026-59084)に対してアドバイザリが公開されました。
この事例から確認すべきポイント
この事例は、広く利用されているオープンソースソフトウェアであるApache Tomcatに複数の脆弱性が発見され、その修正版がリリースされたことを示しています。CVE-2026-59083はURLデコードの不備によるセキュリティ制御バイパスの可能性を指摘しており、CVE-2026-59084はEncryptInterceptorの要件に関する文書化の不備です。企業の実務担当者は、自社システムでApache Tomcatを利用している場合、速やかにバージョンを確認し、影響を受ける場合は修正済みバージョンへのアップデートを検討する必要があります。現時点で取得できた本文からは、各脆弱性の具体的な悪用事例や緊急度に関する詳細な情報、およびアップデート以外の緩和策は確認できませんでした。そのため、The Apache Software FoundationおよびJPCERT/CCが公開する公式アドバイザリを参照し、詳細な影響と推奨される対応を把握することが不可欠です。
公式出典
更新履歴
公開日: 2026-07-16
関連事例
- iOS版LINEにおけるサービス運用妨害(DoS)につながる脆弱性
- Adalo App Builderにおける複数の脆弱性
- Pegatron製Windows Driver Model (WDM) ドライバー「Tdelo64.sys」における複数の脆弱性
- JavaScriptライブラリ「Forge」における複数の署名検証不備の脆弱性
- Tera TermのTTSSH2プラグインにおける複数の脆弱性
自社のプレスリリースをPRazeに掲載しませんか?
無料でプレスリリースを掲載する