WAF「ModSecurity」のコアライブラリに脆弱性 - アップデートで修正

ウェブアプリケーションファイアウォール（WAF）である「ModSecurity」のコアライブラリ「Libmodsecurity3」に脆弱性が明らかとなった。

「同3.0.13」において特定のHTMLエンティティが正しくデコードされない脆弱性「CVE-2025-27110」が明らかとなったもの。攻撃者が特定のペイロードを利用して、検証をバイパスすることが可能になる。

同バージョンでは、メモリ管理の最適化を目的とした変更が行われたが、その際に生じた脆弱性で、先頭にゼロを含むHTMLエンティティを正しく処理できず、「t:htmlEntityDecode」変換を使用するすべてのルールに対して回避が可能になるという。

CVE番号を採番したGitHubにおける共通脆弱性評価システム「CVSSv4.0」のベーススコアは「7.9」、重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。「同3.0.13」より以前のバージョンに同様の脆弱性は存在しないという。

開発チームは、脆弱性を修正した「同3.0.14」をリリースしており、利用者にアップデートを呼びかけている。また今回の問題を受け、回帰テストを追加しており、再発の防止を図るとしている。

（Security NEXT - 2025/03/03 ）ツイート