Akamaiは、一部のオリジンサーバーがボディ付きOPTIONSリクエストを処理する方法に起因する潜在的なHTTPリクエストスマグリングの脆弱性(CVE-2025-54142)を排除しました。
RFC 9110で説明されているHTTP OPTIONSリクエストメソッドは、クライアントがサーバー上の特定のURLに対して許可されているオプションを確認するために使用されます。主な用途は、オリジン間リソース共有(CORS)の文脈で、ブラウザーが実際のリクエストを送信する前に、リクエストをべき等の方法で「プリフライト」することです。
実際の使用は稀ですが、OPTIONSメソッドはエンティティボディを伴う場合があります。RFC 9110によれば、そのようなリクエストの正当なユースケースは知られておらず、通常はブラウザーやモバイルクライアントもこの種のリクエストを送信することはありません。
詳細
一部のRFC非準拠オリジンスタックは、Akamaiのプロキシサーバーから転送されたリクエストボディを正しく消費しません。その結果、プロキシとオリジンサーバー間の永続接続にペイロードが残留する可能性があります。
その後、この残留データに、同じオリジンに送られた後続の通常のHTTPリクエストが付加されると、オリジンサーバーはそのスマグリングされたリクエストを解釈してしまうことがあります。
これにより、オリジンサーバーの設定によっては、攻撃者はキャッシュポイズニングやその他のセキュリティ関連の脅威を実行することができてしまいます。
緩和策
2025年7月21日に私たちが導入したWAF Rapid Ruleに加えて、この特定のリクエスト・スマグリング・ベクトルを防止するために、プラットフォーム全体で別途変更を実装しました。この変更により、ボディ付きOPTIONSリクエストに対してオリジンおよびクライアントとの接続を即座に終了させ、同様の攻撃ベクトルを防ぎます。この変更は2025年8月11日に完全に展開されました。
タグ
