WAF「ModSecurity」のコアライブラリに脆弱性 - アップデートで修正
ウェブアプリケーションファイアウォール(WAF)である「ModSecurity」のコアライブラリ「Libmodsecurity3」に脆弱性が明らかとなった。
「同3.0.13」において特定のHTMLエンティティが正しくデコードされない脆弱性「CVE-2025-27110」が明らかとなったもの。攻撃者が特定のペイロードを利用して、検証をバイパスすることが可能になる。
同バージョンでは、メモリ管理の最適化を目的とした変更が行われたが、その際に生じた脆弱性で、先頭にゼロを含むHTMLエンティティを正しく処理できず、「t:htmlEntityDecode」変換を使用するすべてのルールに対して回避が可能になるという。
CVE番号を採番したGitHubにおける共通脆弱性評価システム「CVSSv4.0」のベーススコアは「7.9」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。「同3.0.13」より以前のバージョンに同様の脆弱性は存在しないという。
開発チームは、脆弱性を修正した「同3.0.14」をリリースしており、利用者にアップデートを呼びかけている。また今回の問題を受け、回帰テストを追加しており、再発の防止を図るとしている。
(Security NEXT - 2025/03/03 )
ツイート
PR
関連記事
「Kibana」にプロトタイプ汚染の脆弱性 - アップデートや緩和策
「Firefox」のJavaScript処理に脆弱性 - 重要度「クリティカル」
「Auth0」のSDKに脆弱性 - 各プラットフォーム向けにアップデート
「glibc」に深刻な脆弱性 - 2024年のアップデートで修正済み
多要素認証製品「Advanced Authentication」に脆弱性 - 4月更新で修正済み
「macOS」にアップデート - 多数脆弱性を解消
「Node.js」に脆弱性 - 各ブランチ向けにアップデート
「Microsoft Edge」にアップデート - ゼロデイ脆弱性を解消
「Chromium」や「SAP NetWeaver」の脆弱性悪用に警戒を - 米当局が注意喚起
IDと公開鍵を紐づける「OpenPubkey」に署名検証バイパスのおそれ
