2020年2月25日、Apache Tomcat における脆弱性（CVE-2020-1938） が公表されました。
この脆弱性が悪用された場合、悪意のある第三者が AJP（Apache JServ Protocol）（※）リクエストを送信し、
Web アプリケーションのルートディレクトリにある任意のファイルを読み取られる可能性があります。
Web アプリケーションがファイルのアップロードや保存を許可している場合、
遠隔の攻撃者により任意のコードが実行される可能性があります。
（※）AJP： Tomcat が Apache httpd（HTTP サーバー）と通信するためのプロトコル

脆弱性の内容は以下をご参照ください。
・Apache Tomcat における脆弱性（CVE-2020-1938）について

Create!Webフローでは、ルートディレクトリへのファイルのアップロードや保存は行っておりません。
よって本脆弱性を悪用した、任意のコードを実行する攻撃を受ける可能性はありません。

ただ、Tomcat のセキュリティガイドでは、AJP が不要な場合はポートを無効にすることが推奨されています。
Create!Webフロー標準環境では、AJP は使用しておりません。
このため、Create!Webフローにおいても、AJP のポートを無効にする対応を行っていただくことを推奨いたします。

◆対象環境

　・Create!Webフロー V4／V5
　　※ Create!Webフロー Cloud を除く

◆対応方法

　◇AJP のポートの無効化
　　(1) Create!Webフローのサービスを停止します。
　　(2) 以下のファイルをテキストエディタで開きます（編集前に必ずバックアップを作成してください）。
　　　　[Create!Webフロー インストールフォルダ]\Tomcat\conf\server.xml
　　(3) AJP の Connector の設定をコメントアウトします。
　　　　【修正前】<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
　　　　【修正後】<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
　　(4) ファイルを保存します。
　　(5) Create!Webフローのサービスを開始します。

　すぐに上記対応を行うことができない場合、サーバーのファイアウォールで
　AJP のポート（8009）の受信を許可しない設定を行うなど、ポートを外部公開しない対応をご検討ください。

◆ Create!Webフローの Tomcat と Apache httpd を連携した環境の対応

　お客様が独自に Apache httpd を導入し、Create!Webフローの Tomcat と連携している場合、
　上記 ◆対応方法 により AJP の Connector をコメントアウトすると
　Create!Webフローを使用することができなくなります。

　このため、上記 ◆対応方法 は実施せず、認可設定を行う方法で対応してください。
　AJP の Connector の認可設定については、以下を参考にしてください。
　（参考）Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起（IV. 回避策）

　すぐに上記対応ができない場合、お客様の環境に合わせ、AJP のポートを外部公開しない方法などもご検討ください。