NVD脆弱性詳細
Exploit、PoC検索
CVE-2023-46589
概要

Improper Input Validation vulnerability in Apache Tomcat.Tomcat from 11.0.0-M1 through 11.0.0-M10, from 10.1.0-M1 through 10.1.15, from 9.0.0-M1 through 9.0.82 and from 8.5.0 through 8.5.95 did not correctly parse HTTP trailer headers. A trailer header that exceeded the header size limit could cause Tomcat to treat a single
request as multiple requests leading to the possibility of request
smuggling when behind a reverse proxy.

Users are recommended to upgrade to version 11.0.0-M11 onwards, 10.1.16 onwards, 9.0.83 onwards or 8.5.96 onwards, which fix the issue.

公表日 2023年11月29日1:15
登録日 2023年11月29日10:00
最終更新日 2024年11月21日17:28
CVSS3.1 : HIGH
スコア 7.5
ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:tomcat:11.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone5:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone7:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone8:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone9:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone10:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:11.0.0:milestone6:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 10.1.0 10.1.16
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 9.0.0 9.0.83
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 8.5.0 8.5.96
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Apache Tomcat におけるリクエストスマグリングの脆弱性
タイトル Apache Tomcat におけるリクエストスマグリングの脆弱性
概要

Apache Tomcat には、細工された HTTP トレーラーヘッダを受信した場合に正しく解析できないことに起因する、リクエストスマグリングの脆弱性(CVE-2023-46589)が存在します。

想定される影響 Tomcat をリバースプロキシの背後に配備している場合、1 つのリクエストを複数のリクエストとして処理してしまう可能性があります。 
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者によると、本脆弱性は次のバージョンで修正されているとのことです。  * Apache Tomcat 11.0.0-M11  * Apache Tomcat 10.1.16  * Apache Tomcat 9.0.83  * Apache Tomcat 8.5.96

公表日 2023年11月29日0:00
登録日 2023年11月30日13:42
最終更新日 2024年8月8日11:41
影響を受けるシステム
Apache Software Foundation
Apache Tomcat 10.1.0-M1 から 10.1.15 まで
Apache Tomcat 11.0.0-M1 から 11.0.0-M10 まで
Apache Tomcat 8.5.0 から 8.5.95 まで
Apache Tomcat 9.0.0-M1 から 9.0.82 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
3 [2024年04月26日]
  参考情報:National Vulnerability Database (NVD) (CVE-2023-5944) を追加
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:内容を更新
 2024年4月26日15:01
2 [2024年01月31日]
  ベンダ情報:日立 (hitachi-sec-2024-107) を追加
 2024年1月31日15:44
4 [2024年07月03日]
  ベンダ情報:日立 (hitachi-sec-2024-134) を追加		 2024年7月3日16:37
1 [2023年11月30日]   掲載 2023年11月30日11:40
5 [2024年08月08日]
  ベンダ情報:日立 (hitachi-sec-2024-120) を追加		 2024年8月8日11:41