対象バージョンのTomcatでは、非常に限定された環境においてのみの発生ではあるものの、攻撃者が悪意のあるJSPをアップロードして、リモートから実行可能な脆弱性が発見された。 以下の条件を満たした環境では、脆弱性を利用した攻撃が成功する。 Oracle Java 1.7.0 update 25以前(または、java.ioパッケージにnullバイト攻撃への対策が行われていないJava実装) Tomcat 7.0.0~7.0.3でWebアプリケーションを実行 WebアプリケーションがServlet 3.0のファイルアップロード機能を使用 WebアプリケーションがTomcatプロセスのユーザーによる書き込みを許可(これはTomcatのセキュリティドキュメントでの推奨には反する) カスタムJMX接続(デフォルトでは許可されないJMX接続など)のリスナーを設定しており、Tomcatの一般的なクラスロ
![米Apache、アプリケーションサーバ「Tomcat」の脆弱性について警告](https://cdn-ak-scissors.b.st-hatena.com/image/square/106c7e478be88bc515873fc79870c7b92dd94618/height=288;version=1;width=512/https%3A%2F%2Fcodezine.jp%2Fstatic%2Fcommon%2Fimages%2Fczlogo4fb_ogp.png)