Cloudflare のゼロデイ脆弱性が FIX:WAF 回避によるオリジン・サーバへの直接アクセス

Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host

2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。

証明書検証に潜んでいたバックドア

この脆弱性は、Automatic Certificate Management Environment (ACME) プロトコルで使用されるパスの悪用を許すものであった。ACME は、認証局が特定の URL パターンである “/.well-known/acme-challenge/{token}” を通じてドメイン所有権を検証することで、SSL/TLS 証明書の発行を自動化する。

このパスは、証明書検証ロボットのみがドメイン所有権を確認するために利用する、限定的かつ制御されたゲートウェイであるはずであった。しかし Cloudflare のエッジ・ネットワークでは、この ACME チャレンジ・パスへのリクエスト処理にロジック上の欠陥が存在していた。

任意のリクエストが “/.well-known/acme-challenge/*” を標的にした場合、正当な証明書検証を妨害しないよう、WAF のセキュリティ機能が無効化されていた。つまり、リクエスト内のトークンが、当該ホスト名に対する有効かつアクティブなチャレンジと一致しているのかどうかを検証していなかった。

その結果として、攻撃者は ACME パスに対して任意のリクエストを送信するだけで、WAF の保護を完全に回避し、オリジン・サーバへ直接到達できてしまった。

Error message
Error message (Source: fearsoff)

FearsOff の研究者たちが構築したのは、このバイパスの深刻性を証明するためのデモ環境である。彼らが設定したのは、cf-php.fearsoff.org/cf-spring.fearsoff.org/cf-nextjs.fearsoff.org などのテストドメインに対し、すべてのトラフィックを遮断する WAF ルールである。

通常のパスに対するリクエストは正しく Cloudflare のブロック・ページを返したが、同一のリクエストを ACME チャレンジ・パスに向けた場合には、すべてのセキュリティ制御が回避され、オリジン・サーバから直接レスポンスが返された。

その影響は、単なるアクセスだけに留まらなかった。Spring Boot アプリケーションでは、サーブレットのパス・トラバーサル手法 (例: ..;/) を用いて “/actuator/env” などの機密性の高いアクチュエータ・エンドポイントにアクセスできた。これにより、環境変数/データベース認証情報/API トークンが露出した。

Next.js アプリケーションでは、サーバサイド・レンダリングのロジックにより、本来は公開されるべきではない運用上の詳細情報が露出した。PHP アプリケーションでは、ローカルファイル・インクルージョンの脆弱性が悪用可能となり、”/etc/hosts” などのシステム・ファイルを読み取ることができた。

アカウント・レベル・ルールも完全に無視

この問題が単なるフレームワークのエラーページに限定されないことを確認するため、特定のテストヘッダ (X-middleware-subrequest) を含むリクエストを遮断する、アカウント・レベルの WAF ルールを研究者は設定した。

通常のパスでは、これらのルールは正しくリクエストを遮断した。しかし、同一のリクエストを ACME チャレンジパスに向けた場合、それらは評価されることなく通過していった。

それが意味するのは、ヘッダ連結を用いた SQL インジェクション/X-Forwarded-Host を利用した SSRF/キャッシュ・ポイズニング/HTTP メソッド・オーバーライドといったヘッダベースの攻撃クラス全体が、脆弱なオリジンへ到達可能だったことだ。

Cloudflare は 2025年10月27日、恒久的な修正を展開した。この修正により、リクエスト内のトークンが、当該ホスト名に対して有効かつアクティブなチャレンジと一致する場合にのみ、ACME チャレンジ・ロジックが WAF 機能のバイパスを許可するよう厳格化された。

脆弱性のタイムラインは、責任ある情報開示を示している。2025年10月9日に HackerOne 経由で報告され、10月13日にベンダーによる検証が開始され、10月14日に HackerOne がトリアージを実施し、10月27日に最終修正が展開された。

Cloudflare は、顧客側での対応は不要であり、悪用の証拠は確認されていないと述べている。

この件では、第三者による検証のために Crypto.com の Security Team が協力し、Cloudflare CEO である Matthew Prince と直接連携して迅速な修正が行われた。

このバグが示すのは、自動化のために用意されたメンテナンス用パスが、コードパスごとにセキュリティ制御の適用が一貫していない場合に、危険な攻撃ベクターになり得ることである。

Cloudflare の Web Application Firewall (WAF) に、本来なら遮断されるはずの攻撃トラフィックがサーバまで到達してしまう深刻な脆弱性が見つかりました。この問題の原因は、SSL 証明書を自動で更新するためのメンテナンス用ルートを、セキュリティ・チェックの対象から無条件に除外していたという設計上のミスにあります。

具体的には、証明書の発行元がドメインの所有権を確認するために用いる特定の URL “/.well-known/acme-challenge/*” への通信を、Cloudflareのシステムが証明書更新のための大切な通信だと勘違いし、WAF による監視をオフにして通過させていました。

この仕様を逆手に取る攻撃者は、このパスに対して悪意のリクエストを送信するだけで、SQL インジェクションや機密ファイルの閲覧といった攻撃を、WAF に気づかれずに実行できる状態にありました。すでに Cloudflare 側で、この問題に対する修正は完了しています。よろしければ、Cloudflare での検索結果も、ご参照ください。