2026/5/12にApache tomcat に関連して複数の脆弱性が報告されています。
調査の結果、Yellowfinでは該当のTomcatの機能は利用しておりませんので、製品としては脆弱性の影響は受けません。
該当のTomcatの機能はYellowfinのバージョンに関わらずデフォルトでは無効になっております。
しかし、手動で有効化するすることが可能であるため、その場合には脆弱性の影響を受けます。
下記の表を参考に影響の有無を確認できます。
影響がある場合はの対策は該当の機能を無効にするか、Yellowfin9.17.1以降へアップデートします。
Yellowfin9.17.1ではこれらの脆弱性に対策済みのTomcat9.0.118にアップデートされます。
Yellowfin9.17.1は2026/6月中にリリース予定となっております。
| CVE | 深刻度 (当社判定) | 脆弱性の条件 | 製品での利用 | 影響 |
|---|---|---|---|---|
| CVE-2026-43515 | High |
WEB-INF/web.xmlに上記タグの記載がある | 未使用 | 無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-43514 | Low | AJPコネクターを使用 appserver/conf/server.xmlに | 未使用 | 無 この機能はデフォルトで無効になっています。ただし、エンドユーザーが有効にしている場合は、影響が生じます。 |
| CVE-2026-43513 | Moderate | LockOutRealm を使用 appserver/conf/server.xmlまたは同フォルダのcontext.xmlに | 未使用 | 無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-43512 | High | DIGEST認証を使用 WEB-INF/web.xmlに | 未使用 | 無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-42498 | Moderate | Tomcat の WebSocket クライアントを使用 JavaなどからAPIを用いて | 未使用 | 無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-41293 | High | HTTP/2 を有効化 appserver/conf/server.xmlの Connector定義に | 未使用 | 無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-41284 | Moderate | WebDAVサーブレットを有効化 WEB-INF/web.xmlに | 未使用 | 無 この機能はデフォルトで無効になっています。ただし、エンドユーザーが有効にしている場合は、影響が生じます。 |