WAF「ModSecurity」のコアライブラリに脆弱性 - アップデートで修正
ウェブアプリケーションファイアウォール(WAF)である「ModSecurity」のコアライブラリ「Libmodsecurity3」に脆弱性が明らかとなった。
「同3.0.13」において特定のHTMLエンティティが正しくデコードされない脆弱性「CVE-2025-27110」が明らかとなったもの。攻撃者が特定のペイロードを利用して、検証をバイパスすることが可能になる。
同バージョンでは、メモリ管理の最適化を目的とした変更が行われたが、その際に生じた脆弱性で、先頭にゼロを含むHTMLエンティティを正しく処理できず、「t:htmlEntityDecode」変換を使用するすべてのルールに対して回避が可能になるという。
CVE番号を採番したGitHubにおける共通脆弱性評価システム「CVSSv4.0」のベーススコアは「7.9」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。「同3.0.13」より以前のバージョンに同様の脆弱性は存在しないという。
開発チームは、脆弱性を修正した「同3.0.14」をリリースしており、利用者にアップデートを呼びかけている。また今回の問題を受け、回帰テストを追加しており、再発の防止を図るとしている。
(Security NEXT - 2025/03/03 )
ツイート
PR
関連記事
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
「GitLab」にセキュリティ更新 - 脆弱性13件を修正
権威DNSサーバ「NSD」に複数脆弱性 - 修正版が公開
先週注目された記事(2026年6月21日〜2026年6月27日)
「libssh2」に整数オーバーフローの脆弱性 - 実証コードも公開
ログ収集ツール「Fluentd」に深刻な脆弱性 - 修正版を公開
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正
