CVE-2019-17569

The refactoring present in Apache Tomcat 9.0.28 to 9.0.30, 8.5.48 to 8.5.50 and 7.0.98 to 7.0.99 introduced a regression. The result of the regression was that invalid Transfer-Encoding headers were incorrectly processed leading to a possibility of HTTP Request Smuggling if Tomcat was located behind a reverse proxy that incorrectly handled the invalid Transfer-Encoding header in a particular manner. Such a reverse proxy is considered unlikely.

公開: 2020-02-24 最終更新: 2026-06-16 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2019-17569 は中リスク(55/100)。CVSS 深刻度は中。悪用される可能性が高い(EPSS 8.87%、95 パーセンタイル) 根拠: EPSS 上、短期間での悪用可能性は高い水準です。 直近 1 日で EPSS が +2.71% 上昇。悪用への関心が高まっている可能性があります。 推奨対応: 悪用可能性が高いため、影響範囲の確認と修補の優先付けを推奨します。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2019-17569 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-15 6.16% 8.87% +2.71%
2 2026-03-28 6.06% 6.16% +0.10%
3 2026-03-04 6.06%

EPSS の全履歴 (全 40 件)

CVE-2019-17569 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
4.8 3.1 MEDIUM
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:H)
到達できても、タイミング・負荷・周辺設定など、揃わないと成功しない局面が多い。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U)
影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:L)
一部のデータや属性が漏えいしうるが、全件一括流出といった規模には至らない。
完全性への影響 (I:L)
レコードの一部書き換えや設定の歪みなど、限定的だが検知・復旧が必要な水準。
可用性への影響 (A:N)
業務継続に支障が出るレベルの停止や劣化は想定されない。
2.2 2.5 [email protected]
5.8 2.0 MEDIUM
AV:N/AC:M/Au:N/C:P/I:P/A:N クリックして展開
アクセス経路 (AV:N)
ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。
アクセスの複雑さ (AC:M)
多少の有利条件は要るが、極端なレアケースではない。
認証 (AU:N)
認証を経ずに攻撃を完結できる。
機密性への影響 (C:P)
機密性は部分的に損なわれる。
完全性への影響 (I:P)
完全性は部分的に損なわれる。
可用性への影響 (A:N)
可用性は損なわれない。
8.6 4.9 [email protected]

CVE-2019-17569 の弱点分類(列挙)

CVE-2019-17569 の GitHub Security Advisory

GHSA-767j-jfh2-jvrc · 深刻度: medium · エコシステム: maven — Potential HTTP request smuggling in Apache Tomcat

CVE-2019-17569 の OS トラッカー

vendor priority summary link
debian not yet assigned CVE-2019-17569 not yet assigned priority: Debian including 1 source packages (tomcat9), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5. https://security-tracker.debian.org/tracker/CVE-2019-17569
redhat low https://access.redhat.com/security/cve/CVE-2019-17569
ubuntu low CVE-2019-17569 low priority: Ubuntu including 3 source packages (tomcat7, tomcat8, tomcat9), 15 status rows across 5 suites (bionic, eoan, trusty, upstream, xenial): not-affected 7, DNE 5, needs-triage 2, released 1. https://ubuntu.com/security/CVE-2019-17569

CVE-2019-17569 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
apache tomcat >= 7.0.98, <= 7.0.99 cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
apache tomcat >= 8.5.48, <= 8.5.50 cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
apache tomcat >= 9.0.28, <= 9.0.30 cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:*
apache tomee 7.0.7 cpe:2.3:a:apache:tomee:7.0.7:*:*:*:*:*:*:*
opensuse leap 15.1 cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
netapp data_availability_services cpe:2.3:a:netapp:data_availability_services:-:*:*:*:*:*:*:*
netapp oncommand_system_manager >= 3.0.0, <= 3.1.3 cpe:2.3:a:netapp:oncommand_system_manager:*:*:*:*:*:*:*:*
debian debian_linux 9.0 cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
debian debian_linux 10.0 cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
oracle agile_engineering_data_management 6.2.1.0 cpe:2.3:a:oracle:agile_engineering_data_management:6.2.1.0:*:*:*:*:*:*:*
oracle agile_plm 9.3.3 cpe:2.3:a:oracle:agile_plm:9.3.3:*:*:*:*:*:*:*
oracle agile_plm 9.3.5 cpe:2.3:a:oracle:agile_plm:9.3.5:*:*:*:*:*:*:*
oracle agile_plm 9.3.6 cpe:2.3:a:oracle:agile_plm:9.3.6:*:*:*:*:*:*:*
oracle communications_instant_messaging_server 10.0.1.4.0 cpe:2.3:a:oracle:communications_instant_messaging_server:10.0.1.4.0:*:*:*:*:*:*:*
oracle health_sciences_empirica_inspections 1.0.1.2 cpe:2.3:a:oracle:health_sciences_empirica_inspections:1.0.1.2:*:*:*:*:*:*:*
oracle health_sciences_empirica_signal 7.3.3 cpe:2.3:a:oracle:health_sciences_empirica_signal:7.3.3:*:*:*:*:*:*:*
oracle hospitality_guest_access 4.2.0 cpe:2.3:a:oracle:hospitality_guest_access:4.2.0:*:*:*:*:*:*:*
oracle hospitality_guest_access 4.2.1 cpe:2.3:a:oracle:hospitality_guest_access:4.2.1:*:*:*:*:*:*:*
oracle instantis_enterprisetrack >= 17.1, <= 17.3 cpe:2.3:a:oracle:instantis_enterprisetrack:*:*:*:*:*:*:*:*
oracle mysql_enterprise_monitor <= 4.0.12 cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
oracle mysql_enterprise_monitor >= 8.0.0, <= 8.0.20 cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
oracle transportation_management 6.3.7 cpe:2.3:a:oracle:transportation_management:6.3.7:*:*:*:*:*:*:*
oracle workload_manager 12.2.0.1 cpe:2.3:a:oracle:workload_manager:12.2.0.1:*:*:*:*:*:*:*
oracle workload_manager 18c cpe:2.3:a:oracle:workload_manager:18c:*:*:*:*:*:*:*
oracle workload_manager 19c cpe:2.3:a:oracle:workload_manager:19c:*:*:*:*:*:*:*

CVE-2019-17569 の参考情報

URL タグ
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00025.html Mailing List Third Party Advisory
https://lists.apache.org/thread.html/r7bc994c965a34876bd94d5ff15b4e1e30b6220a15eb9b47c81915b78%40%3Ccommits.tomee.apache.org%3E
https://lists.apache.org/thread.html/r88def002c5c78534674ca67472e035099fbe088813d50062094a1390%40%3Cannounce.tomcat.apache.org%3E Mailing List Vendor Advisory
https://lists.apache.org/thread.html/rc31cbabb46cdc58bbdd8519a8f64b6236b2635a3922bbeba0f0e3743%40%3Ccommits.tomee.apache.org%3E
https://lists.debian.org/debian-lts-announce/2020/03/msg00006.html Mailing List Third Party Advisory
https://security.netapp.com/advisory/ntap-20200327-0005/ Third Party Advisory
https://www.debian.org/security/2020/dsa-4673 Third Party Advisory
https://www.debian.org/security/2020/dsa-4680 Third Party Advisory
https://www.oracle.com/security-alerts/cpujan2021.html Patch Third Party Advisory
https://www.oracle.com/security-alerts/cpujul2020.html Patch Third Party Advisory
https://www.oracle.com/security-alerts/cpuoct2020.html Patch Third Party Advisory
cvelogic Threat Intelligence