【概要】

Apache Tomcat には、ROOT ディレクトリに配置されたデフォルトのウェブアプリケーションが FORM 認証を使用するように設定されている場合、オープンリダイレクトが発生する脆弱性 (CVE-2023-41080) が存在します。
CVSS による深刻度 (CVSS とは?)

【影響を受けるシステム】

Apache Software Foundation
・Apache Tomcat 11.0.0-M1 から 11.0.0-M10 までのバージョン
・Apache Tomcat 10.1.0-M1 から 10.1.12 までのバージョン
・Apache Tomcat 9.0.0-M1 から 9.0.79 までのバージョン
・Apache Tomcat 8.5.0 から 8.5.92 までのバージョン

【想定される影響】

細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる可能性があります。

【対策】

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

　* Apache Tomcat 11.0.0-M11 およびそれ以降のバージョン
　* Apache Tomcat 10.1.13 およびそれ以降のバージョン
　* Apache Tomcat 9.0.80 およびそれ以降のバージョン
　* Apache Tomcat 8.5.93 およびそれ以降のバージョン

【ベンダ情報】

Apache Software Foundation
・The Apache Software Foundation : [SECURITY] CVE-2023-41080 Apache ・Tomcat - open redirect
・The Apache Software Foundation : Fixed in Apache Tomcat 11.0.0-M11
・The Apache Software Foundation : Fixed in Apache Tomcat 10.1.13
・The Apache Software Foundation : Fixed in Apache Tomcat 9.0.80
・The Apache Software Foundation : Fixed in Apache Tomcat 8.5.93

【CWEによる脆弱性タイプ一覧 】

共通脆弱性識別子(CVE)

1.CVE-2023-41080

出典：JVN iPedia