WAF「ModSecurity」のコアライブラリに脆弱性 - アップデートで修正
ウェブアプリケーションファイアウォール(WAF)である「ModSecurity」のコアライブラリ「Libmodsecurity3」に脆弱性が明らかとなった。
「同3.0.13」において特定のHTMLエンティティが正しくデコードされない脆弱性「CVE-2025-27110」が明らかとなったもの。攻撃者が特定のペイロードを利用して、検証をバイパスすることが可能になる。
同バージョンでは、メモリ管理の最適化を目的とした変更が行われたが、その際に生じた脆弱性で、先頭にゼロを含むHTMLエンティティを正しく処理できず、「t:htmlEntityDecode」変換を使用するすべてのルールに対して回避が可能になるという。
CVE番号を採番したGitHubにおける共通脆弱性評価システム「CVSSv4.0」のベーススコアは「7.9」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。「同3.0.13」より以前のバージョンに同様の脆弱性は存在しないという。
開発チームは、脆弱性を修正した「同3.0.14」をリリースしており、利用者にアップデートを呼びかけている。また今回の問題を受け、回帰テストを追加しており、再発の防止を図るとしている。
(Security NEXT - 2025/03/03 )
ツイート
PR
関連記事
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
