プラットフォーム
java
コンポーネント
org.apache.tomcat:tomcat-coyote
修正版
11.0.20
10.1.53
9.0.116
9.0.116
CVE-2026-32990は、Apache Tomcatにおける不適切な入力検証の脆弱性です。この脆弱性は、CVE-2025-66614の不完全な修正が原因で発生し、攻撃者が不正な入力を送信することを可能にします。この問題は、Apache Tomcatのバージョン11.0.15から11.0.19、10.1.50から10.1.52、9.0.113から9.0.115に影響を与えます。バージョン11.0.20, 10.1.53, 9.0.116へのアップデートで修正されています。
Apache Tomcat の CVE-2026-32990 は、不適切な入力検証によりセキュリティリスクをもたらします。この欠陥は、CVE-2025-66614 に関する修正が不完全であることによるものです。影響を受けるバージョンは、Tomcat 11.0.15 から 11.0.19、10.1.50 から 10.1.52、および 9.0.113 から 9.0.115 です。攻撃者は、この脆弱性を悪用して、悪意のあるコードを挿入したり、サーバー上で不正な操作を実行したりする可能性があります。CVSS の深刻度は 5.3 と評価されており、中程度のリスクを示しています。Web アプリケーションと機密データを保護するために、この脆弱性を対処することが重要です。
この脆弱性は、不完全な入力検証から発生し、攻撃者が特定のパラメーターを操作してサーバーの動作に影響を与えることを可能にします。脆弱性の具体的な悪用に関する詳細は広く公開されていませんが、脆弱性の性質から、悪意のある HTTP リクエストを介して悪用される可能性があることが示唆されています。CVE-2025-66614 の完全な修正の欠如が、この問題に寄与しています。システム管理者は、ファイアウォールや侵入検知システムなどの追加のセキュリティ対策を実装して、Tomcat サーバーを保護することをお勧めします。
Organizations running web applications on Apache Tomcat, particularly those using older, unpatched versions (≤9.0.115), are at risk. Shared hosting environments where multiple users share a single Tomcat instance are also particularly vulnerable, as a compromise of one application could potentially affect others.
• linux / server:
journalctl -u tomcat | grep -i "CVE-2026-32990"• generic web:
curl -I http://your-tomcat-server/ | grep -i "HTTP/1.1 400 Bad Request"• java: Examine Tomcat configuration files (e.g., server.xml) for any unusual or unexpected settings related to request processing.
disclosure
エクスプロイト状況
EPSS
0.19% (40% パーセンタイル)
CVSS ベクトル
CVE-2026-32990 を軽減するための推奨される解決策は、Apache Tomcat を修正されたバージョンにアップグレードすることです。具体的には、バージョン 11.0.20、10.1.53、または 9.0.116 にアップグレードすることをお勧めします。これらのバージョンには、不適切な入力検証に対処するために必要な修正が含まれています。悪用のリスクを最小限に抑えるために、できるだけ早くアップグレードを適用することをお勧めします。アップグレードを適用する前に、Tomcat の構成をバックアップし、アプリケーションとの互換性を確保するためにステージング環境でアップグレードをテストすることをお勧めします。アップグレード後、サーバーログを監視して予期しない問題がないか確認してください。
Actualice Apache Tomcat a la versión 11.0.20, 10.1.53 o 9.0.116 para mitigar la vulnerabilidad de validación de entrada incorrecta. Esta actualización corrige una deficiencia que no se abordó completamente en una corrección anterior (CVE-2025-66614).
脆弱性分析と重要アラートをメールでお届けします。
Apache Tomcat は、Java Servlet、JavaServer Pages (JSP)、Java Expression Language、および WebSocket 仕様を実装するオープンソースのサーブレットコンテナです。
Web ブラウザで Tomcat のホームページ (通常は http://localhost:8080) にアクセスして、Tomcat のバージョンを確認できます。バージョンはページに表示されます。
Apache の公式ウェブサイトから修正された Tomcat のバージョンをダウンロードできます: https://tomcat.apache.org/download-90.cgi (バージョン 9 用)、https://tomcat.apache.org/download-10.cgi (バージョン 10 用)、または https://tomcat.apache.org/download-11.cgi (バージョン 11 用)。
すぐに Tomcat をアップグレードできない場合は、リスクを軽減するために、ファイアウォールや侵入検知システムなどの追加のセキュリティ対策を実装することを検討してください。
脆弱性スキャナは、Tomcat サーバーが CVE-2026-32990 に対して脆弱かどうかを判断するのに役立ちます。推奨事項については、セキュリティプロバイダーに相談してください。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。