RadwareのクラウドWAFに脆弱性 - フィルタ回避のおそれ
Radwareが提供するクラウド型ウェブアプリケーションファイアウォール「Radware Cloud Web Application Firewall(WAF)」にフィルタリング処理を回避できる複数の脆弱性が判明した。
CERT/CCは現地時間2025年5月7日にセキュリティアドバイザリを公開し、本来ブロックされるべき悪意あるリクエストがバイパスされる2件の脆弱性「CVE-2024-56523」「CVE-2024-56524」を明らかにした。
HTTPのGETリクエストにおいて、ランダムなデータを含むボディが意図的に追加されるとWAF側で正しく処理できず、フィルタをバイパスできる脆弱性が判明したという。
さらに特殊文字を含むリクエストでは検証に失敗し、WAFのフィルタによる遮断が行えず、そのままウェブアプリケーションに到達する脆弱性が判明した。
CERT/CCは、今回判明したこれら脆弱性はすでに修正されている可能性があると指摘。一方当初報告した時点よりRadwareは報告者の指摘へ応答していないと説明。脆弱性に関する詳細な情報なども明らかとなっていない。
(Security NEXT - 2025/05/08 )
ツイート
PR
関連記事
Cisco IOS XE無線LANコントローラに脆弱性 - root権限奪取のおそれ
GeoVision製EOL機器に対する脆弱性攻撃が発生 - 米当局が注意喚起
SonicWall「SMA100」シリーズに脆弱性 - 初期化やファイル書き込みのおそれ
API管理ツール「WSO2 API Manager」の旧版にXXE脆弱性
「Chrome」にセキュリティアップデート - 修正2件を実施
米政府、GW期間中に悪用確認脆弱性10件を追加
PHPのDB接続ライブラリ「ADOdb」のPostgreSQLドライバに深刻な脆弱性
「Microsoft Edge」にアップデート - 脆弱性5件を解消
米当局、悪用が確認された既知脆弱性2件について注意喚起
「Node.js 18」がサポート終了 - 後継バージョンへ移行を