OWASP CRS Vulnerability Allows Attackers to Bypass Charset Validation
2026/01/09 CyberSecurityNews — OWASP Core Rule Set (CRS) に、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、文字セットベースの攻撃を防ぐために設計された重要なセキュリティ保護を回避できる。この脆弱性 CVE-2026-21876 の深刻度スコアは 9.3 で Critical に分類され、ルール 922110 に影響する。ルール 922110 は、マルチパート・フォーム・リクエストにおいて、UTF-7 や UTF-16 などの危険な文字エンコーディングをブロックするよう設計されている。
OWASP CRS の脆弱性
フィルターを回避し、クロスサイト・スクリプティング (XSS) 攻撃を開始する目的で、これらのエンコーディングは頻繁に悪用される。
| Aspect | Details |
|---|---|
| CVE ID | CVE-2026-21876 |
| Severity | CRITICAL (9.3) |
| CWE | CWE-794 |
| CVSS Score | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N |
この Core Rule Set (CRS) には、マルチパート・リクエストの最後の部分のみを検証し、それ以前の部分を無視してしまうという、深刻な脆弱性が存在する。
この欠陥を突く攻撃者は、マルチパート・リクエストの最初の部分に悪意のある UTF-7 エンコード JavaScript を配置し、最後の部分に正当な UTF-8 コンテンツを配置できる。前述の通り、このルールは最後の部分のみを検査するため、攻撃は検知されずに通過する。
この脆弱性が影響を及ぼす範囲は、CRS バージョン 3.3.x (~3.3.7) および 4.0.0~4.21.0 を実行しているすべての環境となる。
これらのバージョンは、Apache ModSecurity v2/ModSecurity v3/Coraza において広く使用されている。この保護が欠如すると、文字セット・エンコードされたペイロードが、攻撃者によりバックエンド・アプリケーションに直接送信される。
UTF-7 XSS 攻撃は十分に文書化されており、WAF レイヤーをバイパスする点で防御が困難である。つまり、影響を受けるシステムでは、重要な防御レイヤーが失われる。
ユーザーは何をすべきか
すでに OWASP CRS チームは、パッチをリリースし、この問題に対処している。
CRS 4.x ユーザーにとって必要なことは、バージョン 4.22.0 への速やかなアップグレードである。同様に、CRS 3.3.x ユーザーは、バージョン 3.3.8 へのアップグレードが必要となる。
これらの修正は下位互換性を維持しているため、コンフィグの変更は不要である。それぞれのユーザーは、可能な限り早急にアップグレードを実施し、修正が有効化されていることを確認すべきである。
修正後のルールでは、最後のマルチパートのみを確認する方式を改めている。カウンター・ベースの仕組みにより、すべてのパートを個別に保存/検証する方式が採用されている。
すべてのパートの文字セットが検査対象となるため、すべての位置において悪意のエンコードが通過することはなくなる。
このパッチは、2026年1月6日に開発およびリリースされ、それと同時に公開情報も提供されている。この CVE CVE-2026-21876 は、内部 ID 9AJ-260102 として追跡されている。
すべてのユーザーに対して OWASP CRS チームが推奨するのは、直ちに対策を講じることで、この深刻なバイパスの脆弱性からアプリケーションを保護することだ。
Web アプリケーションを保護する WAF のルールセットに、深刻な脆弱性が発見されました。この脆弱性の原因は、 OWASP CRS のマルチパート・リクエストに対する不完全な検証ロジックにあります。リクエストの中に複数のデータが含まれている場合に、最後のパートのみを検査して、それより前の部分を無視してしまうという仕様上の欠陥がありました。つまり、最初のパートに悪意のエンコード済みスクリプトを隠し、最後に正当なデータを置くことで、セキュリティ・チェックをすり抜けることが可能になっていました。ご利用のチームは、ご注意ください。よろしければ、WAF での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.