Apache TomcatにApache Tomcat JK ISAPI Connector にパストラバーサルの脆弱性が確認された。影響を受けるのはApache Tomcat JK ISAPI Connector 1.2.0 から 1.2.42までのバージョンで、Apache Tomcat JK ISAPI Connector の IIS/ISAPI 向けの処理のなかで、受け取ったリクエストの URI から worker への対応付けを行う前のリクエスト内のパスを正規化する処理に問題があり、この脆弱性が悪用されると、Apache Tomcat 側のパス処理の一部範囲のみを IIS 経由で公開する設定にしている場合、細工されたリクエストをリバースプロキシ経由で受け取った際に公開していないパスにアクセスされる恐れがある。解決策として、Apache Tomcat JK ISAPI Connector 1.2.43が公開されており、アップデートによりこの脆弱性は解消される。
