Apache Tomcatに複数の脆弱性が確認された。Apache Tomcat 9.0.0.M1~9.0.0.M21、8.5.0~8.5.15、8.0.0.RC1~8.0.44、7.0.41~7.0.78にはCVE-2017-7674のキャッシュポイズニングの脆弱性、Apache Tomcat 8.5.0~8.5.15にはHTTP/2 実装における認証回避の脆弱性が存在する。これらの脆弱性が悪用されると、CorsFilterがVaryヘッダー情報を適切追加せず、異なるヘッダー情報を参照したり、認証を回避される恐れがある。解決策として、Apache Tomcat 9.0.0.M22、Apache Tomcat 8.5.16、Apache Tomcat 8.0.45、Apache Tomcat 7.0.79が公開されており、アップデートによりこの脆弱性は解消される。
