NVD Vulnerability Detail
Search Exploit, PoC
CVE-2023-46589
Summary

Improper Input Validation vulnerability in Apache Tomcat.Tomcat from 11.0.0-M1 through 11.0.0-M10, from 10.1.0-M1 through 10.1.15, from 9.0.0-M1 through 9.0.82 and from 8.5.0 through 8.5.95 did not correctly parse HTTP trailer headers. A trailer header that exceeded the header size limit could cause Tomcat to treat a single
request as multiple requests leading to the possibility of request
smuggling when behind a reverse proxy.

Users are recommended to upgrade to version 11.0.0-M11 onwards, 10.1.16 onwards, 9.0.83 onwards or 8.5.96 onwards, which fix the issue.

Publication Date Nov. 29, 2023, 1:15 a.m.
Registration Date Nov. 29, 2023, 10 a.m.
Last Update Nov. 21, 2024, 5:28 p.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:tomcat:11.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone5:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone7:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone8:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone9:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone10:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone6:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 10.1.0 10.1.16
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 9.0.0 9.0.83
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 8.5.0 8.5.96
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Tomcat におけるリクエストスマグリングの脆弱性
Title Apache Tomcat におけるリクエストスマグリングの脆弱性
Summary

Apache Tomcat には、細工された HTTP トレーラーヘッダを受信した場合に正しく解析できないことに起因する、リクエストスマグリングの脆弱性(CVE-2023-46589)が存在します。

Possible impacts Tomcat をリバースプロキシの背後に配備している場合、1 つのリクエストを複数のリクエストとして処理してしまう可能性があります。 
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者によると、本脆弱性は次のバージョンで修正されているとのことです。  * Apache Tomcat 11.0.0-M11  * Apache Tomcat 10.1.16  * Apache Tomcat 9.0.83  * Apache Tomcat 8.5.96

Publication Date Nov. 29, 2023, midnight
Registration Date Nov. 30, 2023, 1:42 p.m.
Last Update Aug. 8, 2024, 11:41 a.m.
Affected System
Apache Software Foundation
Apache Tomcat 10.1.0-M1 から 10.1.15 まで
Apache Tomcat 11.0.0-M1 から 11.0.0-M10 まで
Apache Tomcat 8.5.0 から 8.5.95 まで
Apache Tomcat 9.0.0-M1 から 9.0.82 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
3 [2024年04月26日]
  参考情報:National Vulnerability Database (NVD) (CVE-2023-5944) を追加
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:内容を更新
 April 26, 2024, 3:01 p.m.
2 [2024年01月31日]
  ベンダ情報:日立 (hitachi-sec-2024-107) を追加
 Jan. 31, 2024, 3:44 p.m.
4 [2024年07月03日]
  ベンダ情報:日立 (hitachi-sec-2024-134) を追加		 July 3, 2024, 4:37 p.m.
1 [2023年11月30日]   掲載 Nov. 30, 2023, 11:40 a.m.
5 [2024年08月08日]
  ベンダ情報:日立 (hitachi-sec-2024-120) を追加		 Aug. 8, 2024, 11:41 a.m.