【CVE-2025-31651】Apache Tomcatに深刻な脆弱性、Rewrite Valve機能のバイパスによるセキュリティリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【CVE-2025-31651】Apache Tomcatに深刻な脆弱性、Rewrite Valve機能のバイパスによるセキュリティリスクが発生

記事の要約

Apache TomcatにRewrite Valve機能のバイパス脆弱性
バージョン11.0.0-M1から11.0.5など複数のバージョンに影響
特定のリライトルール設定でセキュリティ制約がバイパス可能

Apache Tomcatの脆弱性CVE-2025-31651

Apache Software Foundationは2025年4月28日、Apache Tomcatのバージョン11.0.0-M1から11.0.5、10.1.0-M1から10.1.39、9.0.0.M1から9.0.102において、Rewrite Valve機能にバイパス可能な脆弱性が発見されたことを公開した。この脆弱性により、特定のリライトルール設定において、巧妙に細工されたリクエストによってセキュリティ制約を回避される可能性が指摘されている。^[1]

本脆弱性はCVE-2025-31651として識別されており、CWEによる脆弱性タイプはImproper Encoding or Escaping of Output（CWE-116）に分類されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権レベルは不要とされているため、広範な影響が懸念される状況だ。

CVSSスコアは9.8（CRIT ICAL）と非常に深刻な評価となっており、早急な対応が必要とされている。Apache Software Foundationは影響を受けるバージョンのユーザーに対して、修正版へのアップグレードを強く推奨しており、セキュリティリスクの低減に向けた取り組みを継続している。

Apache Tomcat脆弱性の影響範囲まとめ

バージョン	影響範囲
バージョン11系	11.0.0-M1から11.0.5
バージョン10系	10.1.0-M1から10.1.39
バージョン9系	9.0.0.M1から9.0.102
CVSSスコア	9.8（CRITICAL）
脆弱性タイプ	CWE-116（Improper Encoding or Escaping of Output）

リライトバルブについて

リライトバルブとは、Apache TomcatにおけるURLの書き換えを制御する重要なコンポーネントであり、主な特徴として以下のような点が挙げられる。

URLパターンに基づいたリクエストの動的な書き換え機能
セキュリティ制約の適用とアクセス制御の実装
柔軟なルール設定によるリクエストの制御と変換

今回の脆弱性では、リライトバルブの特定の設定において、巧妙に細工されたリクエストによってセキュリティ制約をバイパスできる問題が発見された。この問題は、URLの書き換えルールとセキュリティ制約の連携に関する実装上の欠陥に起因しており、攻撃者による不正アクセスのリスクを高める要因となっている。

Apache Tomcatの脆弱性に関する考察

Apache Tomcatの広範な利用実態を考慮すると、本脆弱性の影響は非常に大きいと言える。特にリライトバルブを使用したセキュリティ制約の実装は多くの開発現場で採用されており、既存のセキュリティ対策が無効化される可能性があることは深刻な問題だ。また、CVSSスコアが9.8と高く評価されている点からも、早急な対応が求められる状況である。

今後は同様の脆弱性を防ぐため、URL書き換え機能とセキュリティ制約の実装方法について、より厳密な検証と改善が必要となるだろう。特に、リクエストの正規化処理やエスケープ処理の強化、セキュリティ制約の適用方法の見直しなど、包括的な対策の検討が求められている。

また、脆弱性対応における課題として、バージョンアップに伴う既存システムへの影響評価がある。多くの組織では複数のTomcatインスタンスを運用しており、修正版への移行には慎重な検証が必要となる。セキュリティと安定性のバランスを考慮しながら、計画的なアップデート戦略を立案することが重要だ。