2026/5/12にApache tomcat に関連して複数の脆弱性が報告されています。
調査の結果、Yellowfinでは該当のTomcatの機能は利用しておりませんので、製品としては脆弱性の影響は受けません。
該当のTomcatの機能はYellowfinのバージョンに関わらずデフォルトでは無効になっております。
しかし、手動で有効化することが可能であるため、その場合には脆弱性の影響を受けます。
下記の表を参考に影響の有無を確認できます。
影響がある場合はの対策は該当の機能を無効にするか、Yellowfin9.17.1以降へアップデートします。
Yellowfin9.17.1ではこれらの脆弱性に対策済みのTomcat9.0.118にアップデートされます。
Yellowfin9.17.1は2026/6月中にリリース予定となっております。
| CVE | 深刻度 (当社判定) |
脆弱性の条件 | 製品での利用 | 影響 |
|---|---|---|---|---|
| CVE-2026-43515 | High |
WEB-INF/web.xmlに上記タグの記載があり、且つ、同じURLパターン(拡張機能やパス指定)に対して複数のセキュリティ制約( |
未使用 |
無 Yellowfin9.15以降のインストラーの"厳格なセキュリティ設定で初期設定をする"をONに指定してインストールした場合は それ以外でこの機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-43514 | Low |
AJPコネクターを使用 appserver/conf/server.xmlに |
未使用 |
無 この機能はデフォルトで無効になっています。ただし、エンドユーザーが有効にしている場合は、影響が生じます。 |
| CVE-2026-43513 | Moderate |
LockOutRealm を使用 appserver/conf/server.xmlまたは同フォルダのcontext.xmlに |
未使用 |
無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-43512 | High |
DIGEST認証を使用 WEB-INF/web.xmlに |
未使用 |
無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-42498 | Moderate |
Tomcat の WebSocket クライアントを使用 JavaなどからAPIを用いて |
未使用 |
無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-41293 | High |
HTTP/2 を有効化 appserver/conf/server.xmlの Connector定義に |
未使用 |
無 この機能は、Yellowfinでは使用されていません。ただし、エンドユーザーがこの機能を有効にしている場合は影響が生じます。 |
| CVE-2026-41284 | Moderate |
WebDAVサーブレットを有効化 WEB-INF/web.xmlに |
未使用 |
無 この機能はデフォルトで無効になっています。ただし、エンドユーザーが有効にしている場合は、影響が生じます。 |
CVE-2026-43515について
<security-constraint> で同じURLパターン(拡張機能やパス指定)に対して複数のセキュリティ制約(<web-resource-collection> 内の <http-method>)が定義される場合、Tomcatは最初の制約のみを適用し、それ以降の制約や保護設定を無視してしまう問題が発生する可能性があります。
対象となる設定例:複数のメソッド制約が混在するケース(web.xml)
.do や .jsp など)に対して、管理者のみ GET と POST を許可し、さらに追記の制約で PUT や DELETE を拒否しようと、以下のように複数のセキュリティ制約を定義したとします。<security-constraint>
<web-resource-collection>
<web-resource-name>Admin Operations</web-resource-name>
<url-pattern>*.do</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Restrict Methods</web-resource-name>
<url-pattern>*.do</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<!-- 拒否するためロールを空にするか除外設定にする -->
</auth-constraint>
</security-constraint>
問題の詳細:
このような記述をした場合、Tomcatは最初の *.do に対する設定(GET と POST の制限)のみを評価・適用し、2つ目の設定は無視します。その結果、本来拒否したかった PUT や DELETE メソッドのアクセスが許可されてしまい、意図しないアクセスや認証バイパスなどのセキュリティ脆弱性を引き起こす恐れがあります。
回避する構成:
同じ拡張機能やリソースに対してHTTPメソッドの制限や許可を行いたい場合は、制約を複数に分割せず、1つの <security-constraint> の中にすべてのHTTPメソッドをまとめて定義するように記述します。
<security-constraint>
<web-resource-collection>
<web-resource-name>All Operations for Admin</web-resource-name>
<url-pattern>*.do</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>