The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. Tomcat did     not escape ANSI escape sequences in log messages. If Tomcat was running in a console on a Windows     operating system, and the console supported ANSI escape sequences, it was possible for an attacker to use     a specially crafted URL to inject ANSI escape sequences to manipulate the console and the clipboard and     attempt to trick an administrator into running an attacker controlled command. While no attack vector was     found, it may have been possible to mount this attack on other operating systems. This issue affects     Apache Tomcat: from 11.0.0-M1 through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.40 through     9.0.108. The following versions were EOL at the time the CVE was created but are known to be affected:
    8.5.60 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade     to version 11.0.11 or later, 10.1.45 or later or 9.0.109 or later, which fix the issue. (CVE-2025-55754)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - Apache Tomcat 中存在逸出、中繼或控制序列不當中和的弱點。Tomcat 未逸出記錄訊息中的 ANSI 逸出序列。如果 Tomcat 是在 Windows 作業系統的主控台中執行且主控台支援 ANSI 逸出序列攻擊者就可能使用特製 URL 來插入 ANSI 逸出序列以操控主控台和剪貼簿並嘗試誘騙管理員執行攻擊者控制的命令。由於未發現攻擊媒介因此可能可以在其他作業系統上掛載此攻擊。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10 (含)、10.1.0-M1 至 10.1.44 (含)、9.0.40 至 9.0.108 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
    8.5.60 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55754)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
    8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされている Tomcat のバージョンは 11.0.11より前です。したがって、fixed_in_apache_tomcat_11.0.11_security-11 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat の相対パストラバーサルの脆弱性。バグ 60013 の修正により、書き直された URL がデコードされる前に正規化されるという回帰が導入されました。これにより、クエリパラメーターを URL に書き換えるリライトルールに関して、攻撃者がリクエスト URI を操作して、/WEB-INF/ および /META-INF/ の保護を含むセキュリティ制約をバイパスする可能性があります。PUTリクエストも有効化された場合、悪意のあるファイルがアップロードされ、リモートコードの実行が引き起こされる可能性があります。PUTリクエストは通常、信頼できるユーザーに限定されており、URIを操作するリライトと組み合わせてPUTリクエストが有効化される可能性は低いと考えられます。この問題は、Apache Tomcat11.0.0-M1 から 11.0.10、10.1.0-M1 から 10.1.449.0.0、から に影響を与えます。M11 から 9.0.108。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。8.5.6 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55752

  - Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
    8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Tomcat のバージョンは 9.0.109より前です。したがって、fixed_in_apache_tomcat_9.0.109_security-9 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat の相対パストラバーサルの脆弱性。バグ 60013 の修正により、書き直された URL がデコードされる前に正規化されるという回帰が導入されました。これにより、クエリパラメーターを URL に書き換えるリライトルールに関して、攻撃者がリクエスト URI を操作して、/WEB-INF/ および /META-INF/ の保護を含むセキュリティ制約をバイパスする可能性があります。PUTリクエストも有効化された場合、悪意のあるファイルがアップロードされ、リモートコードの実行が引き起こされる可能性があります。PUTリクエストは通常、信頼できるユーザーに限定されており、URIを操作するリライトと組み合わせてPUTリクエストが有効化される可能性は低いと考えられます。この問題は、Apache Tomcat11.0.0-M1 から 11.0.10、10.1.0-M1 から 10.1.449.0.0、から に影響を与えます。M11 から 9.0.108。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。8.5.6 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55752

  - Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
    8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

遠端主機上安裝的 Tomcat 版本低於 9.1.109。因此會受到 fixed_in_apache_tomcat_9.1.109_security-9 公告中所提及的多個弱點影響。

  - Apache Tomcat 中的相對路徑遊走弱點。錯誤 60013 的修正引入了回歸其中重寫的 URL 在其解碼之前先標準化。這引入了一種可能性使得對於將查詢參數重寫至 URL 的重寫規則攻擊者可操控要求 URI 以繞過安全性限制包括 /WEB-INF/ 和 /META-INF/ 的保護。如果也啟用 PUT 要求則可上傳惡意檔案導致遠端程式碼執行。PUT 要求通常限於受信任的使用者且 PUT 要求不太可能與操控 URI 的重寫一起啟用。此問題會影響 Apache Tomcat 從 11.0.0-M1 到 11.0.10、從 10.1.0-M1 到 10.1.44、從 9.0.0。M11 至 9.0.108。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.6 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

  - Apache Tomcat 中存在逸出、中繼或控制序列不當中和的弱點。Tomcat 未逸出記錄訊息中的 ANSI 逸出序列。如果 Tomcat 是在 Windows 作業系統的主控台中執行且主控台支援 ANSI 逸出序列攻擊者就可能使用特製 URL 來插入 ANSI 逸出序列以操控主控台和剪貼簿並嘗試誘騙管理員執行攻擊者控制的命令。由於未發現攻擊媒介因此可能可以在其他作業系統上掛載此攻擊。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10 (含)、10.1.0-M1 至 10.1.44 (含)、9.0.40 至 9.0.108 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
    8.5.60 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55754)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本低於 10.1.45。因此會受到 fixed_in_apache_tomcat_10.1.45_security-10 公告中所提及的多個弱點影響。

  - Apache Tomcat 中的相對路徑遊走弱點。錯誤 60013 的修正引入了回歸其中重寫的 URL 在其解碼之前先標準化。這引入了一種可能性使得對於將查詢參數重寫至 URL 的重寫規則攻擊者可操控要求 URI 以繞過安全性限制包括 /WEB-INF/ 和 /META-INF/ 的保護。如果也啟用 PUT 要求則可上傳惡意檔案導致遠端程式碼執行。PUT 要求通常限於受信任的使用者且 PUT 要求不太可能與操控 URI 的重寫一起啟用。此問題會影響 Apache Tomcat 從 11.0.0-M1 到 11.0.10、從 10.1.0-M1 到 10.1.44、從 9.0.0。M11 至 9.0.108。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.6 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

  - Apache Tomcat 中存在逸出、中繼或控制序列不當中和的弱點。Tomcat 未逸出記錄訊息中的 ANSI 逸出序列。如果 Tomcat 是在 Windows 作業系統的主控台中執行且主控台支援 ANSI 逸出序列攻擊者就可能使用特製 URL 來插入 ANSI 逸出序列以操控主控台和剪貼簿並嘗試誘騙管理員執行攻擊者控制的命令。由於未發現攻擊媒介因此可能可以在其他作業系統上掛載此攻擊。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10 (含)、10.1.0-M1 至 10.1.44 (含)、9.0.40 至 9.0.108 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
    8.5.60 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55754)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Tomcat 中转义、元或控制序列漏洞的不当中和。Tomcat 未对日志消息中的 ANSI 转义序列进行转义。如果 Tomcat 在 Windows 操作系统上的控制台中运行并且该控制台支持 ANSI 转义序列则攻击者可能使用特制的 URL 注入 ANSI 转义序列以操纵控制台和剪贴板并尝试欺骗管理员权限运行攻击者控制的命令。虽然未发现攻击向量但可能已在其他操作系统上发动此攻击。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.40 至 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：
    8.5.60 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55754)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

The version of Tomcat installed on the remote host is prior to 9.1.109. It is, therefore, affected by multiple vulnerabilities as referenced in the fixed_in_apache_tomcat_9.1.109_security-9 advisory.

  - Relative Path Traversal vulnerability in Apache Tomcat. The fix for bug 60013 introduced a regression     where the rewritten URL was normalized before it was decoded. This introduced the possibility that, for     rewrite rules that rewrite query parameters to the URL, an attacker could manipulate the request URI to     bypass security constraints including the protection for /WEB-INF/ and /META-INF/. If PUT requests were     also enabled then malicious files could be uploaded leading to remote code execution. PUT requests are     normally limited to trusted users and it is considered unlikely that PUT requests would be enabled in     conjunction with a rewrite that manipulated the URI. This issue affects Apache Tomcat: from 11.0.0-M1     through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.0.M11 through 9.0.108. The following versions     were EOL at the time the CVE was created but are known to be affected: 8.5.6 though 8.5.100. Other, older,     EOL versions may also be affected. Users are recommended to upgrade to version 11.0.11 or later, 10.1.45     or later or 9.0.109 or later, which fix the issue. (CVE-2025-55752)

  - Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. Tomcat did     not escape ANSI escape sequences in log messages. If Tomcat was running in a console on a Windows     operating system, and the console supported ANSI escape sequences, it was possible for an attacker to use     a specially crafted URL to inject ANSI escape sequences to manipulate the console and the clipboard and     attempt to trick an administrator into running an attacker controlled command. While no attack vector was     found, it may have been possible to mount this attack on other operating systems. This issue affects     Apache Tomcat: from 11.0.0-M1 through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.40 through     9.0.108. The following versions were EOL at the time the CVE was created but are known to be affected:
    8.5.60 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade     to version 11.0.11 or later, 10.1.45 or later or 9.0.109 or later, which fix the issue. (CVE-2025-55754)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of Tomcat installed on the remote host is prior to 10.1.45. It is, therefore, affected by multiple vulnerabilities as referenced in the fixed_in_apache_tomcat_10.1.45_security-10 advisory.

  - Relative Path Traversal vulnerability in Apache Tomcat. The fix for bug 60013 introduced a regression     where the rewritten URL was normalized before it was decoded. This introduced the possibility that, for     rewrite rules that rewrite query parameters to the URL, an attacker could manipulate the request URI to     bypass security constraints including the protection for /WEB-INF/ and /META-INF/. If PUT requests were     also enabled then malicious files could be uploaded leading to remote code execution. PUT requests are     normally limited to trusted users and it is considered unlikely that PUT requests would be enabled in     conjunction with a rewrite that manipulated the URI. This issue affects Apache Tomcat: from 11.0.0-M1     through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.0.M11 through 9.0.108. The following versions     were EOL at the time the CVE was created but are known to be affected: 8.5.6 though 8.5.100. Other, older,     EOL versions may also be affected. Users are recommended to upgrade to version 11.0.11 or later, 10.1.45     or later or 9.0.109 or later, which fix the issue. (CVE-2025-55752)

  - Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. Tomcat did     not escape ANSI escape sequences in log messages. If Tomcat was running in a console on a Windows     operating system, and the console supported ANSI escape sequences, it was possible for an attacker to use     a specially crafted URL to inject ANSI escape sequences to manipulate the console and the clipboard and     attempt to trick an administrator into running an attacker controlled command. While no attack vector was     found, it may have been possible to mount this attack on other operating systems. This issue affects     Apache Tomcat: from 11.0.0-M1 through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.40 through     9.0.108. The following versions were EOL at the time the CVE was created but are known to be affected:
    8.5.60 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade     to version 11.0.11 or later, 10.1.45 or later or 9.0.109 or later, which fix the issue. (CVE-2025-55754)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている Tomcat のバージョンは 9.1.109より前です。したがって、fixed_in_apache_tomcat_9.1.109_security-9 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat の相対パストラバーサルの脆弱性。バグ 60013 の修正により、書き直された URL がデコードされる前に正規化されるという回帰が導入されました。これにより、クエリパラメーターを URL に書き換えるリライトルールに関して、攻撃者がリクエスト URI を操作して、/WEB-INF/ および /META-INF/ の保護を含むセキュリティ制約をバイパスする可能性があります。PUTリクエストも有効化された場合、悪意のあるファイルがアップロードされ、リモートコードの実行が引き起こされる可能性があります。PUTリクエストは通常、信頼できるユーザーに限定されており、URIを操作するリライトと組み合わせてPUTリクエストが有効化される可能性は低いと考えられます。この問題は、Apache Tomcat11.0.0-M1 から 11.0.10、10.1.0-M1 から 10.1.449.0.0、から に影響を与えます。M11 から 9.0.108。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。8.5.6 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55752

  - Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
    8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Tomcat のバージョンは 10.1.45より前です。したがって、fixed_in_apache_tomcat_10.1.45_security-10 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat の相対パストラバーサルの脆弱性。バグ 60013 の修正により、書き直された URL がデコードされる前に正規化されるという回帰が導入されました。これにより、クエリパラメーターを URL に書き換えるリライトルールに関して、攻撃者がリクエスト URI を操作して、/WEB-INF/ および /META-INF/ の保護を含むセキュリティ制約をバイパスする可能性があります。PUTリクエストも有効化された場合、悪意のあるファイルがアップロードされ、リモートコードの実行が引き起こされる可能性があります。PUTリクエストは通常、信頼できるユーザーに限定されており、URIを操作するリライトと組み合わせてPUTリクエストが有効化される可能性は低いと考えられます。この問題は、Apache Tomcat11.0.0-M1 から 11.0.10、10.1.0-M1 から 10.1.449.0.0、から に影響を与えます。M11 から 9.0.108。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。8.5.6 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55752

  - Apache Tomcat におけるエスケープ、メタ、または制御シーケンスの不適切な無効化の脆弱性。Tomcat は、ログメッセージの ANSI エスケープシーケンスをエスケープしませんでした。Tomcat が Windows オペレーティングシステム上のコンソールで実行されており、コンソールが ANSI エスケープシーケンスをサポートしていた場合、攻撃者が特別に細工された URL を使用して ANSI エスケープシーケンスを注入し、コンソールとクリップボードを操作し、管理者が攻撃者が制御するコマンドを実行できるようになります。攻撃ベクトルは見つかりませんでしたが、この攻撃を他のオペレーティングシステムにマウントすることが可能であった可能性があります。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.10 まで、10.1.0-M1 から 10.1.44 まで、9.0.40 から 9.0.108 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。
    8.5.60 から 8.5.100。その他の古い、EOL バージョンも影響を受ける可能性があります。ユーザーは、この問題を修正するバージョン 11.0.11 以降、 10.1.45 以降、または 9.0.109 以降にアップグレードすることが推奨されます。CVE-2025-55754

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of Tomcat installed on the remote host is prior to 11.0.11. It is, therefore, affected by multiple vulnerabilities as referenced in the fixed_in_apache_tomcat_11.0.11_security-11 advisory.

  - Relative Path Traversal vulnerability in Apache Tomcat. The fix for bug 60013 introduced a regression     where the rewritten URL was normalized before it was decoded. This introduced the possibility that, for     rewrite rules that rewrite query parameters to the URL, an attacker could manipulate the request URI to     bypass security constraints including the protection for /WEB-INF/ and /META-INF/. If PUT requests were     also enabled then malicious files could be uploaded leading to remote code execution. PUT requests are     normally limited to trusted users and it is considered unlikely that PUT requests would be enabled in     conjunction with a rewrite that manipulated the URI. This issue affects Apache Tomcat: from 11.0.0-M1     through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.0.M11 through 9.0.108. The following versions     were EOL at the time the CVE was created but are known to be affected: 8.5.6 though 8.5.100. Other, older,     EOL versions may also be affected. Users are recommended to upgrade to version 11.0.11 or later, 10.1.45     or later or 9.0.109 or later, which fix the issue. (CVE-2025-55752)

  - Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. Tomcat did     not escape ANSI escape sequences in log messages. If Tomcat was running in a console on a Windows     operating system, and the console supported ANSI escape sequences, it was possible for an attacker to use     a specially crafted URL to inject ANSI escape sequences to manipulate the console and the clipboard and     attempt to trick an administrator into running an attacker controlled command. While no attack vector was     found, it may have been possible to mount this attack on other operating systems. This issue affects     Apache Tomcat: from 11.0.0-M1 through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.40 through     9.0.108. The following versions were EOL at the time the CVE was created but are known to be affected:
    8.5.60 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade     to version 11.0.11 or later, 10.1.45 or later or 9.0.109 or later, which fix the issue. (CVE-2025-55754)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of Tomcat installed on the remote host is prior to 9.0.109. It is, therefore, affected by multiple vulnerabilities as referenced in the fixed_in_apache_tomcat_9.0.109_security-9 advisory.

  - Relative Path Traversal vulnerability in Apache Tomcat. The fix for bug 60013 introduced a regression     where the rewritten URL was normalized before it was decoded. This introduced the possibility that, for     rewrite rules that rewrite query parameters to the URL, an attacker could manipulate the request URI to     bypass security constraints including the protection for /WEB-INF/ and /META-INF/. If PUT requests were     also enabled then malicious files could be uploaded leading to remote code execution. PUT requests are     normally limited to trusted users and it is considered unlikely that PUT requests would be enabled in     conjunction with a rewrite that manipulated the URI. This issue affects Apache Tomcat: from 11.0.0-M1     through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.0.M11 through 9.0.108. The following versions     were EOL at the time the CVE was created but are known to be affected: 8.5.6 though 8.5.100. Other, older,     EOL versions may also be affected. Users are recommended to upgrade to version 11.0.11 or later, 10.1.45     or later or 9.0.109 or later, which fix the issue. (CVE-2025-55752)

  - Improper Neutralization of Escape, Meta, or Control Sequences vulnerability in Apache Tomcat. Tomcat did     not escape ANSI escape sequences in log messages. If Tomcat was running in a console on a Windows     operating system, and the console supported ANSI escape sequences, it was possible for an attacker to use     a specially crafted URL to inject ANSI escape sequences to manipulate the console and the clipboard and     attempt to trick an administrator into running an attacker controlled command. While no attack vector was     found, it may have been possible to mount this attack on other operating systems. This issue affects     Apache Tomcat: from 11.0.0-M1 through 11.0.10, from 10.1.0-M1 through 10.1.44, from 9.0.40 through     9.0.108. The following versions were EOL at the time the CVE was created but are known to be affected:
    8.5.60 though 8.5.100. Other, older, EOL versions may also be affected. Users are recommended to upgrade     to version 11.0.11 or later, 10.1.45 or later or 9.0.109 or later, which fix the issue. (CVE-2025-55754)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

远程主机上安装的 Tomcat 版本低于 11.0.11。因此如公告 fix_in_apache_tomcat_11.0.11_security-11 所述受到多个漏洞的影响。

  - Apache Tomcat 中的相对路径遍历漏洞。缺陷 60013 的补丁引入了回归解码重写的 URL 之前已将其规范化。此问题可能会造成对于将查询参数重写为 URL 的重写规则攻击者可操纵请求 URI 以绕过安全限制包括 /WEB-INF/ 和 /META-INF/ 的保护。如果也启用了 PUT 请求则可以上传恶意文件从而导致远程代码执行。PUT 请求通常限于受信任的用户因此认为不可能将 PUT 请求与操纵 URI 的重写结合使用。此问题会影响 Apache Tomcat从 11.0.0-M1 到 11.0.10、从 10.1.0-M1 到 10.1.44、从 9.0.0。M11 到 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.6 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55752)

  - Apache Tomcat 中转义、元或控制序列漏洞的不当中和。Tomcat 未对日志消息中的 ANSI 转义序列进行转义。如果 Tomcat 在 Windows 操作系统上的控制台中运行并且该控制台支持 ANSI 转义序列则攻击者可能使用特制的 URL 注入 ANSI 转义序列以操纵控制台和剪贴板并尝试欺骗管理员权限运行攻击者控制的命令。虽然未发现攻击向量但可能已在其他操作系统上发动此攻击。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.40 至 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：
    8.5.60 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55754)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 9.0.109。因此如公告 fix_in_apache_tomcat_9.0.109_security-9 所述受到多个漏洞的影响。

  - Apache Tomcat 中的相对路径遍历漏洞。缺陷 60013 的补丁引入了回归解码重写的 URL 之前已将其规范化。此问题可能会造成对于将查询参数重写为 URL 的重写规则攻击者可操纵请求 URI 以绕过安全限制包括 /WEB-INF/ 和 /META-INF/ 的保护。如果也启用了 PUT 请求则可以上传恶意文件从而导致远程代码执行。PUT 请求通常限于受信任的用户因此认为不可能将 PUT 请求与操纵 URI 的重写结合使用。此问题会影响 Apache Tomcat从 11.0.0-M1 到 11.0.10、从 10.1.0-M1 到 10.1.44、从 9.0.0。M11 到 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.6 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55752)

  - Apache Tomcat 中转义、元或控制序列漏洞的不当中和。Tomcat 未对日志消息中的 ANSI 转义序列进行转义。如果 Tomcat 在 Windows 操作系统上的控制台中运行并且该控制台支持 ANSI 转义序列则攻击者可能使用特制的 URL 注入 ANSI 转义序列以操纵控制台和剪贴板并尝试欺骗管理员权限运行攻击者控制的命令。虽然未发现攻击向量但可能已在其他操作系统上发动此攻击。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.40 至 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：
    8.5.60 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55754)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 9.1.109。因此如公告 fix_in_apache_tomcat_9.1.109_security-9 所述受到多个漏洞的影响。

  - Apache Tomcat 中的相对路径遍历漏洞。缺陷 60013 的补丁引入了回归解码重写的 URL 之前已将其规范化。此问题可能会造成对于将查询参数重写为 URL 的重写规则攻击者可操纵请求 URI 以绕过安全限制包括 /WEB-INF/ 和 /META-INF/ 的保护。如果也启用了 PUT 请求则可以上传恶意文件从而导致远程代码执行。PUT 请求通常限于受信任的用户因此认为不可能将 PUT 请求与操纵 URI 的重写结合使用。此问题会影响 Apache Tomcat从 11.0.0-M1 到 11.0.10、从 10.1.0-M1 到 10.1.44、从 9.0.0。M11 到 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.6 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55752)

  - Apache Tomcat 中转义、元或控制序列漏洞的不当中和。Tomcat 未对日志消息中的 ANSI 转义序列进行转义。如果 Tomcat 在 Windows 操作系统上的控制台中运行并且该控制台支持 ANSI 转义序列则攻击者可能使用特制的 URL 注入 ANSI 转义序列以操纵控制台和剪贴板并尝试欺骗管理员权限运行攻击者控制的命令。虽然未发现攻击向量但可能已在其他操作系统上发动此攻击。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.40 至 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：
    8.5.60 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55754)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 10.1.45。因此如公告 fix_in_apache_tomcat_10.1.45_security-10 所述受到多个漏洞的影响。

  - Apache Tomcat 中的相对路径遍历漏洞。缺陷 60013 的补丁引入了回归解码重写的 URL 之前已将其规范化。此问题可能会造成对于将查询参数重写为 URL 的重写规则攻击者可操纵请求 URI 以绕过安全限制包括 /WEB-INF/ 和 /META-INF/ 的保护。如果也启用了 PUT 请求则可以上传恶意文件从而导致远程代码执行。PUT 请求通常限于受信任的用户因此认为不可能将 PUT 请求与操纵 URI 的重写结合使用。此问题会影响 Apache Tomcat从 11.0.0-M1 到 11.0.10、从 10.1.0-M1 到 10.1.44、从 9.0.0。M11 到 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：8.5.6 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55752)

  - Apache Tomcat 中转义、元或控制序列漏洞的不当中和。Tomcat 未对日志消息中的 ANSI 转义序列进行转义。如果 Tomcat 在 Windows 操作系统上的控制台中运行并且该控制台支持 ANSI 转义序列则攻击者可能使用特制的 URL 注入 ANSI 转义序列以操纵控制台和剪贴板并尝试欺骗管理员权限运行攻击者控制的命令。虽然未发现攻击向量但可能已在其他操作系统上发动此攻击。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.10、10.1.0-M1 至 10.1.44、9.0.40 至 9.0.108。以下版本在创建 CVE 时处于 EOL 但已知会受到影响：
    8.5.60 至 8.5.100。其他较早的 EOL 版本也可能受到影响。建议用户升级到版本 11.0.11 或更高版本、 10.1.45 或更高版本或 9.0.109 或更高版本这些版本修复了该问题。 (CVE-2025-55754)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

遠端主機上安裝的 Tomcat 版本低於 11.0.11。因此會受到 fixed_in_apache_tomcat_11.0.11_security-11 公告中所提及的多個弱點影響。

  - Apache Tomcat 中的相對路徑遊走弱點。錯誤 60013 的修正引入了回歸其中重寫的 URL 在其解碼之前先標準化。這引入了一種可能性使得對於將查詢參數重寫至 URL 的重寫規則攻擊者可操控要求 URI 以繞過安全性限制包括 /WEB-INF/ 和 /META-INF/ 的保護。如果也啟用 PUT 要求則可上傳惡意檔案導致遠端程式碼執行。PUT 要求通常限於受信任的使用者且 PUT 要求不太可能與操控 URI 的重寫一起啟用。此問題會影響 Apache Tomcat 從 11.0.0-M1 到 11.0.10、從 10.1.0-M1 到 10.1.44、從 9.0.0。M11 至 9.0.108。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.6 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

  - Apache Tomcat 中存在逸出、中繼或控制序列不當中和的弱點。Tomcat 未逸出記錄訊息中的 ANSI 逸出序列。如果 Tomcat 是在 Windows 作業系統的主控台中執行且主控台支援 ANSI 逸出序列攻擊者就可能使用特製 URL 來插入 ANSI 逸出序列以操控主控台和剪貼簿並嘗試誘騙管理員執行攻擊者控制的命令。由於未發現攻擊媒介因此可能可以在其他作業系統上掛載此攻擊。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10 (含)、10.1.0-M1 至 10.1.44 (含)、9.0.40 至 9.0.108 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
    8.5.60 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55754)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本低於 9.0.109。因此會受到 fixed_in_apache_tomcat_9.0.109_security-9 公告中所提及的多個弱點影響。

  - Apache Tomcat 中的相對路徑遊走弱點。錯誤 60013 的修正引入了回歸其中重寫的 URL 在其解碼之前先標準化。這引入了一種可能性使得對於將查詢參數重寫至 URL 的重寫規則攻擊者可操控要求 URI 以繞過安全性限制包括 /WEB-INF/ 和 /META-INF/ 的保護。如果也啟用 PUT 要求則可上傳惡意檔案導致遠端程式碼執行。PUT 要求通常限於受信任的使用者且 PUT 要求不太可能與操控 URI 的重寫一起啟用。此問題會影響 Apache Tomcat 從 11.0.0-M1 到 11.0.10、從 10.1.0-M1 到 10.1.44、從 9.0.0。M11 至 9.0.108。下列版本在建立 CVE 時已停產，但已知會受到影響：8.5.6 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55752)

  - Apache Tomcat 中存在逸出、中繼或控制序列不當中和的弱點。Tomcat 未逸出記錄訊息中的 ANSI 逸出序列。如果 Tomcat 是在 Windows 作業系統的主控台中執行且主控台支援 ANSI 逸出序列攻擊者就可能使用特製 URL 來插入 ANSI 逸出序列以操控主控台和剪貼簿並嘗試誘騙管理員執行攻擊者控制的命令。由於未發現攻擊媒介因此可能可以在其他作業系統上掛載此攻擊。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.10 (含)、10.1.0-M1 至 10.1.44 (含)、9.0.40 至 9.0.108 (含)。下列版本在建立 CVE 時已停產，但已知會受到影響：
    8.5.60 至 8.5.100。其他較舊的停產版本也可能受到影響。建議使用者升級至 11.0.11 或更新版本、 10.1.45 或更新版本或 9.0.109 或更新版本其可修正此問題。 (CVE-2025-55754)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
271820	Linux Distros Unpatched Vulnerability : CVE-2025-55754	Nessus	Misc.	2025/10/28	2025/10/29	critical
271820	Linux Distros 未修補的弱點：CVE-2025-55754	Nessus	Misc.	2025/10/28	2025/10/29	critical
271820	Linux Distros のパッチ未適用の脆弱性: CVE-2025-55754	Nessus	Misc.	2025/10/28	2025/10/29	critical
271693	Apache Tomcat 11.0.0.M1< 11.0.11の複数の脆弱性	Nessus	Web Servers	2025/10/27	2025/10/31	high
271806	Apache Tomcat 9.0.40< 9.0.109の複数の脆弱性	Nessus	Web Servers	2025/10/28	2025/10/31	high
271691	Apache Tomcat 9.0.40 < 9.1.109 多個弱點	Nessus	Web Servers	2025/10/27	2025/10/31	high
271692	Apache Tomcat 10.1.0.M1 < 10.1.45 多個弱點	Nessus	Web Servers	2025/10/27	2025/10/31	high
271820	Linux Distros 未修补的漏洞：CVE-2025-55754	Nessus	Misc.	2025/10/28	2025/10/29	critical
271691	Apache Tomcat 9.0.40 < 9.1.109 multiple vulnerabilities	Nessus	Web Servers	2025/10/27	2025/10/31	high
271692	Apache Tomcat 10.1.0.M1 < 10.1.45 multiple vulnerabilities	Nessus	Web Servers	2025/10/27	2025/10/31	high
271691	Apache Tomcat 9.0.40< 9.1.109の複数の脆弱性	Nessus	Web Servers	2025/10/27	2025/10/31	high
271692	Apache Tomcat 10.1.0.M1< 10.1.45の複数の脆弱性	Nessus	Web Servers	2025/10/27	2025/10/31	high
271693	Apache Tomcat 11.0.0.M1 < 11.0.11 multiple vulnerabilities	Nessus	Web Servers	2025/10/27	2025/10/31	high
271806	Apache Tomcat 9.0.40 < 9.0.109 multiple vulnerabilities	Nessus	Web Servers	2025/10/28	2025/10/31	high
271693	Apache Tomcat 11.0.0.M1 < 11.0.11 多个漏洞	Nessus	Web Servers	2025/10/27	2025/10/31	high
271806	Apache Tomcat 9.0.40 < 9.0.109 多个漏洞	Nessus	Web Servers	2025/10/28	2025/10/31	high
271691	Apache Tomcat 9.0.40 < 9.1.109 多个漏洞	Nessus	Web Servers	2025/10/27	2025/10/31	high
271692	Apache Tomcat 10.1.0.M1 < 10.1.45 多个漏洞	Nessus	Web Servers	2025/10/27	2025/10/31	high
271693	Apache Tomcat 11.0.0.M1 < 11.0.11 多個弱點	Nessus	Web Servers	2025/10/27	2025/10/31	high
271806	Apache Tomcat 9.0.40 < 9.0.109 多個弱點	Nessus	Web Servers	2025/10/28	2025/10/31	high

检测

插件搜索

critical

critical

critical

high

high

high

high

critical

high

high

high

high

high

high

high

high

high

high

high

high