【CVE-2025-24813】は、Apache Tomcatの部分的なPUTリクエスト処理に起因する脆弱性で、認証不要でリモートからコード実行(RCE)や機密ファイルの閲覧、改ざんが実行される可能性があります。
この脆弱性は既にCISAのKnown Exploited Vulnerabilities(KEV)にも登録されており、実際の攻撃試行も確認されています。
本記事では、【CVE-2025-24813】の概要、深刻度、影響範囲、技術的メカニズム、リスク評価、対応策をご紹介します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
【CVE-2025-24813】概要
Apache Tomcatは、Apache Software Foundationが開発・提供するオープンソースのWebアプリケーションサーバーです。Java ServletやJavaServer Pages(JSP)などを実行するための環境を提供し、多くのWebアプリケーション基盤として利用されています。
この脆弱性は、Tomcatのデフォルトサーブレットにおいてwrite機能を許可した状態でpartial PUTが有効になっている場合に発生します。アップロードされたファイル名のパス区切り文字(/)がドット(.)に変換されるという「path equivalence」の挙動が存在し、その結果、攻撃者が意図しない場所にセッションファイルを保存できてしまいます。
保存されたファイルは次回アクセス時にTomcatによってデシリアライズされ、任意のコード実行(RCE)が可能となる危険性があります。
出典:AWS
【CVE-2025-24813】CVSSによる深刻度
この情報漏洩は攻撃が容易で影響範囲も非常に大きいため、複数の評価指標において「極めて深刻」と判定されています。
- CVSS v3.1 基本スコア:9.8(CRITICAL)
- ベクトル:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- EPSSスコア:約94.1%、活発に悪用される確率が非常に高い状態です。
- CISA KEV登録済:既に悪用の動きがある可能性を示唆。
出典:CISA KEV
【CVE-2025-24813】影響を受けるシステム・環境
影響を受けるのは以下のApache Tomcatバージョンです。
- 11.0.0-M1 〜 11.0.2
- 10.1.0-M1 〜 10.1.34
- 9.0.0-M1 〜 9.0.98
本件に対応した修正版(11.0.3 / 10.1.35 / 9.0.99)はすでに公式から公開されており、対象バージョンを使用している場合は、速やかにアップデートを行うことで脆弱性を解消できます。
また、本脆弱性に関してはBroadcom や Recorded Futureなど、複数のセキュリティベンダーからも注意喚起および技術アドバイザリが公開されています。さらに、以下の構成条件をすべて満たす環境では、特に深刻な影響を受ける可能性があります。
- write-enabledなDefault Servletが有効化されている
- partial PUT メソッドの使用が許可されている
- file-based session persistence(セッションのファイル保存)が有効になっている
上記条件が揃っている場合、認証を必要としないリモートコード実行(RCE)が成立するリスクが高くなります。
出典:Rapid7
【CVE-2025-24813】技術的な説明と攻撃の流れ
【CVE-2025-24813】の脆弱性は、特定の構成下においてApache Tomcatがセッションファイルを処理する際の不備を悪用されることで、攻撃者がリモートで任意のコードを実行できる可能性があります。攻撃者は認証なしでこの攻撃を成立させることが可能であり、影響は重大です。
攻撃の流れは以下の通りです。
- 攻撃者がpartial PUTで悪意あるsessionファイル(Javaデシリアライズペイロード付き)を送信する
- 保存時にパス区切りが変換され、Tomcatのセッション保存領域に配置される
- 次回のアクセス時、Tomcatがそのファイルをデシリアライズし、任意コードが実行される
この一連の流れにより、事前の認証なしでRCEが成立する恐れがあります。
出典:Rapid7
【CVE-2025-24813】脆弱性がもたらすリスク
この脆弱性を悪用された場合、以下のような深刻なリスクが想定されます。
- 攻撃者によるリモートからの完全なシステム乗っ取りが可能になる
- セッション注入やファイル改ざんを通じて、不正アクセスを長期間継続される恐れがある
- 機密情報の漏洩やサービスの停止といった甚大な影響に直結する
【CVE-2025-24813】対策と緩和策
この脆弱性は一部の特定条件下で悪用されるものですが、成立した場合の影響は非常に深刻です。そのため、影響を受ける可能性がある環境では迅速な対応が求められます。以下に推奨される恒久的な対応と、アップデートが難しい場合に検討すべき緩和策をまとめます。
推奨される対応
最も有効な対策は、Apache Tomcat を修正版にアップデートすることです。影響を受ける可能性のある環境では、以下のバージョン以降へ速やかに更新してください。
- 9.0.99 以上
- 11.0.3 以上
- 10.1.35 以上
これらのバージョンには、CVE-2025-24813を修正するパッチが含まれています。加えて、partial PUTの無効化や、デフォルトサーブレットにおける書き込み機能の無効化を確認することも重要です。
これらの設定が有効化されている場合に脆弱性が成立するため、運用環境の設定確認を必ず行うことが推奨されます。
出典:NVD
一時的な緩和策
何らかの理由でアップデートの適用がすぐに難しい場合は、以下の設定変更によるリスク軽減が可能です。
- デフォルトサーブレットの書き込み機能を無効化する
- partial PUT機能を無効化する
- セッションの永続化方式を、ファイルベースからデータベースやメモリベースの方式へ変更する
これらの対応によって、攻撃者が脆弱性を突ける可能性を低減できます。
また、すでに不審なファイルアップロードや改ざんの痕跡が確認されている場合は、速やかにフォレンジック調査を実施してください。侵害の範囲や攻撃経路を明確に把握することで、被害の封じ込めや再発防止につなげることが可能です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | 情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。