独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月26日、複数のApache製品におけるサービス運用妨害(DoS)の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTTデータグループ TERASOLUNA Framework セキュリティチームが報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2025-48976
Apache Commons FileUpload 1.0から1.6より前
Apache Commons FileUpload 2.0.0-M1から2.0.0-M4より前
・CVE-2025-48988
※TomcatはCommons FileUploadのフォークを含むため、下記のバージョンではCVE-2025-48976の影響も受ける。
Apache Tomcat 11.0.0-M1から11.0.7まで
Apache Tomcat 10.1.0-M1から10.1.41まで
Apache Tomcat 9.0.0.M1から9.0.105まで
The Apache Software Foundationが提供する複数のApache製品には、制限または調整なしのリソースの割り当て(CVE-2025-48976、CVE-2025-48988)の脆弱性が存在する。
想定される影響としては、制限が不十分なマルチパートヘッダーへのリソースの割り当てによってサービス運用妨害(DoS)状態となる(CVE-2025-48976)、制限あるいは調整のないリソースの割り当てによってサービス運用妨害(DoS)状態となる(CVE-2025-48988)といった影響を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに下記のバージョンへアップデートするよう呼びかけている。
・CVE-2025-48976
Apache Commons FileUpload 1.6およびそれ以降
Apache Commons FileUpload 2.0.0-M4およびそれ以降
・CVE-2025-48988
Apache Tomcat 11.0.8およびそれ以降
Apache Tomcat 10.1.42およびそれ以降
Apache Tomcat 9.0.106およびそれ以降
