CVE-2025-27110: ModSecurity Vulnerability Leaves Web Applications Exposed
2025/02/28 SecurityOnline — 人気のオープンソース WAF (Web Application Firewall) である ModSecurity に、新たな脆弱性 CVE-2025-27110 (CVSSv4:7.9) が発見された。この脆弱性が影響を及ぼす範囲は、libmodsecurity3 バージョン 3.0.13 であり、無数の Web アプリケーションが、攻撃に対して脆弱になる可能性が生じる。具体的に言うと、HTML エンティティの先頭にゼロを埋め込んだ、悪意のあるペイロードをエンコードさせることで、攻撃者はセキュリティ・ルールを回避できるという。
ModSecurity のアドバイザリには、「先頭にゼロが含まれている場合、Libmodsecurity3 はエンコードされた HTML エンティティをデコードできなくなる。この欠陥により、ModSecurity は受信 Web トラフィックを適切に検査できなくなり、悪意のコードが検出されずに、すり抜ける可能性が生じる」と記されている。
ModSecurity がインターネットで広く使用されているのは、クロスサイト・スクリプティング (XSS)/SQL インジェクション/リモート・コード実行などの、さまざまな攻撃から Web アプリケーションを保護できるからだ。この libmodsecurity3 の脆弱性を悪用する攻撃者は、先頭にゼロを埋め込んだエンコードされた HTML エンティティを使用いて、攻撃を難読化する可能性を手にする。
すでに ModSecurity のメンテナは、libmodsecurity3 のバージョン 3.0.14 をリリースし、この脆弱性に対処している。ModSecurity の、すべてのユーザーに強く推奨されるのは、最新バージョンへと速やかにアップデートすることだ。残念ながら、この脆弱性に対する既知の回避策は存在しない。
Web アプリケーションのセキュリティに ModSecurity を利用している組織は、最新バージョンへの更新を優先して、システムを保護する必要がある。
WAF (Web Application Firewall) である ModSecurity に脆弱性です。セキュリティ・ツール自体の脆弱性は、環境全体に影響を及ぼす可能性があります。脆弱性 CVE-2025-27110 を修正したバージョンがリリースされていますが、この脆弱性に対する既知の回避策は存在しないとのことです。ご利用のチームは、十分にご注意ください。よろしければ、ModSecurity で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.