2025/06/16 に公開された Apache Tomcat に関する 4 件の脆弱性について

CVE-2025-48988 / CVE-2025-48976

これらの脆弱性は Servlet 3.0 から導入された Servlet による multipart/form-data の処理に関係するものです。WebRelease は これらの機能を使用していません。そのため、この脆弱性への対応として Tomcat 10.1.42 に新たに導入された maxPartCount および maxPartHeaderSize パラメタを設定しても WebRelease の動作には何ら変化は起きません。

WebRelease は multipart/form-data の処理に自社で開発した独自コードを使用しています。

よって、この脆弱性の対応のために Tomcat を 10.1.42 にバージョンアップする必要はありません。本件に対する対応は不要です。

• [SECURITY] CVE-2025-48988 Apache Tomcat - DoS in multipart upload

• CVE-2025-48976 Apache Tomcat - DoS in Commons FileUpload

CVE-2025-49125

WebRelease は PreResource および PostResource を使用していません。よって、この脆弱性の影響を受けることはありません。本件に対する対応は不要です。

• VE-2025-49125 Apache Tomcat - Security constraint bypass for pre/post-resources

CVE-2025-49124

この脆弱性は Tomcat を Windows プラットフォームにインストールする際に関するものです。WebRelease は Windows プラットフォームにインストールされることはないため、この脆弱性の影響を受けることはありません。本件に対する対応は不要です。

• CVE-2025-49124 Apache Tomcat - Side-loading via Tomcat installer for Windows