AkamaiはLayerXを買収し、あらゆるブラウザにエンドツーエンドのセキュリティとリアルタイムのAI利用制御を提供します。 詳細を見る

CVE-2025-54142:ボディ付きOPTIONSリクエストによるHTTPリクエストスマグリング

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

執筆者

Akamai InfoSec

共有

Akamaiは、一部のオリジンサーバーがボディ付きOPTIONSリクエストを処理する方法に起因する潜在的なHTTPリクエストスマグリングの脆弱性(CVE-2025-54142)を排除しました。

RFC 9110で説明されているHTTP OPTIONSリクエストメソッドは、クライアントがサーバー上の特定のURLに対して許可されているオプションを確認するために使用されます。主な用途は、オリジン間リソース共有(CORS)の文脈で、ブラウザーが実際のリクエストを送信する前に、リクエストをべき等の方法で「プリフライト」することです。

実際の使用は稀ですが、OPTIONSメソッドはエンティティボディを伴う場合があります。RFC 9110によれば、そのようなリクエストの正当なユースケースは知られておらず、通常はブラウザーやモバイルクライアントもこの種のリクエストを送信することはありません。

詳細

一部のRFC非準拠オリジンスタックは、Akamaiのプロキシサーバーから転送されたリクエストボディを正しく消費しません。その結果、プロキシとオリジンサーバー間の永続接続にペイロードが残留する可能性があります。

その後、この残留データに、同じオリジンに送られた後続の通常のHTTPリクエストが付加されると、オリジンサーバーはそのスマグリングされたリクエストを解釈してしまうことがあります。

これにより、オリジンサーバーの設定によっては、攻撃者はキャッシュポイズニングやその他のセキュリティ関連の脅威を実行することができてしまいます。

緩和策

2025年7月21日に私たちが導入したWAF Rapid Ruleに加えて、この特定のリクエスト・スマグリング・ベクトルを防止するために、プラットフォーム全体で別途変更を実装しました。この変更により、ボディ付きOPTIONSリクエストに対してオリジンおよびクライアントとの接続を即座に終了させ、同様の攻撃ベクトルを防ぎます。この変更は2025年8月11日に完全に展開されました。

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

執筆者

Akamai InfoSec

タグ

共有

関連するブログ記事

セキュリティリサーチ
Model Context Protocol (MCP) 新仕様のセキュリティリスクと対策
June 25, 2026
2026年7月リリースのModel Context Protocol(MCP)新仕様により、エンタープライズAIのセキュリティ境界はどう変わるのか?ステートレス化で解消される過去の脆弱性と、MCP Appsや非同期タスクがもたらす新たなアタックサーフェス(攻撃対象領域)への対策を解説します。
セキュリティリサーチ
Xurum:新しいMagentoキャンペーンの発見
Akamaiの研究者が、新しい、高度なMagento脅威を発見して分析し、Xurumと名付けました。このブログ記事では、この攻撃の詳細と調査結果をご紹介します。
セキュリティリサーチ
スクレイピングとは何か?WebスクレイパーボットはEコマースの収益をどのように低下させているか
June 25, 2024
Eコマースに関するSOTIレポートでは、Webスクレイパーボットの経済的な影響、検知における課題、高度化について説明しています。