Akamai は、一部のオリジンサーバーがボディ付き OPTIONS リクエストを処理する方法に起因する潜在的な HTTP リクエストスマグリングの脆弱性(CVE-2025-54142)を除去しました。
RFC 9110 で説明されている HTTP OPTIONS リクエストメソッドは、クライアントがサーバー上の特定の URL に対して許可されているオプションを確認するために使用されます。主な用途は、オリジン間リソース共有(CORS)の文脈で、ブラウザーが実際のリクエストを送信する前に、リクエストをべき等の方法で「プリフライト」することです。
実際の使用は稀ですが、OPTIONS メソッドはエンティティボディを伴う場合があります。RFC 9110 によれば、そのようなリクエストの正当なユースケースは知られておらず、通常はブラウザーやモバイルクライアントもこの種のリクエストを送信することはありません。
詳細
一部の RFC 非準拠オリジンスタックは、Akamai のプロキシサーバーから転送されたリクエストボディを正しく消費しません。その結果、プロキシとオリジンサーバー間の永続接続にペイロードが残留する可能性があります。
その後、この残留データに、同じオリジンに送られた後続の通常の HTTP リクエストが付加されると、オリジンサーバーはそのスマグリングされたリクエストを解釈してしまうことがあります。
これにより、オリジンサーバーの設定によっては、攻撃者はキャッシュポイズニングやその他のセキュリティ関連の脅威を実行することができてしまいます。
緩和策
2025 年 7 月 21 日に私たちが導入した WAF Rapid Rule に加えて、この特定のリクエスト・スマグリング・ベクトルを防止するために、プラットフォーム全体で別途変更を実装しました。この変更により、ボディ付き OPTIONS リクエストに対してオリジンおよびクライアントとの接続を即座に終了させ、同様の攻撃ベクトルを防ぎます。この変更は 2025 年 8 月 11 日に完全に展開されました。
タグ
