独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は6月26日、複数のApache製品に存在するサービス運用妨害（DoS）に関する脆弱性について、脆弱性情報ポータル「Japan Vulnerability Notes（JVN）」で注意喚起を行った。これらの脆弱性は、NTTデータグループのTERASOLUNA Framework セキュリティチームが報告したもの。

問題の脆弱性は以下のとおり：

• CVE-2025-48976
  対象バージョン：Apache Commons FileUpload 1.0～1.5、2.0.0-M1～2.0.0-M3
  影響：マルチパートヘッダーへのリソース割り当てが不十分で、DoS状態に陥る可能性
• CVE-2025-48988
  対象バージョン：Apache Tomcat 11.0.0-M1～11.0.7、10.1.0-M1～10.1.41、9.0.0.M1～9.0.105
  影響：リソース制御の欠如によりDoS状態が発生する可能性。なお、TomcatはCommons FileUploadのフォークを含むため、CVE-2025-48976の影響も受ける

この脆弱性は、The Apache Software Foundationが提供する製品において、リソースの割り当てに制限が設けられていないことに起因しており、サービスの停止などの深刻な影響を招く可能性がある。

JVNでは、以下の安全なバージョンへのアップデートを推奨している：

• CVE-2025-48976の対策済みバージョン
  　Apache Commons FileUpload 1.6以降
  　Apache Commons FileUpload 2.0.0-M4以降
• CVE-2025-48988の対策済みバージョン
  　Apache Tomcat 11.0.8以降
  　Apache Tomcat 10.1.42以降
  　Apache Tomcat 9.0.106以降

引用元記事：https://scan.netsecurity.ne.jp/article/2025/06/30/53122.html