Một lỗ hổng bảo mật đáng chú ý vừa được phát hiện trong ModSecurity, tường lửa ứng dụng web (Web Application Firewall – WAF) mã nguồn mở được sử dụng rộng rãi trên toàn cầu. Lỗ hổng này mang mã định danh CVE-2025-27110 và có thể khiến nhiều ứng dụng web dù đã triển khai WAF vẫn đứng trước nguy cơ bị tấn công mà không hề hay biết. Do ModSecurity thường được triển khai như tuyến phòng thủ đầu tiên cho các website và hệ thống trực tuyến, điểm yếu này được đánh giá là có phạm vi ảnh hưởng lớn.

ModSecurity được thiết kế nhằm bảo vệ ứng dụng web trước các hình thức tấn công phổ biến như cross-site scripting (XSS), SQL injection và thực thi mã từ xa (RCE). Tuy nhiên, lỗ hổng lần này xuất hiện trong libmodsecurity3, thư viện lõi chịu trách nhiệm phân tích và xử lý lưu lượng HTTP. Cụ thể, CVE-2025-27110 ảnh hưởng đến phiên bản libmodsecurity3 3.0.13 và được đánh giá với điểm CVSSv4 là 7,9, cho thấy mức độ nghiêm trọng cao.

Nguyên nhân của lỗ hổng nằm ở cách libmodsecurity3 xử lý các thực thể HTML được mã hóa. Trong một số trường hợp, khi các thực thể HTML chứa các chữ số 0 đứng đầu, thư viện không thể giải mã chính xác nội dung. Kẻ tấn công có thể lợi dụng điểm yếu này để mã hóa payload độc hại theo cách mà ModSecurity không nhận diện được, từ đó vượt qua các quy tắc bảo mật hiện có. Khi đó, lưu lượng độc hại vẫn được phép đi qua WAF và tiếp cận trực tiếp ứng dụng web phía sau.

Hệ quả của việc vượt qua cơ chế kiểm tra này là rất nghiêm trọng. Các cuộc tấn công như XSS hoặc SQL injection có thể được che giấu một cách tinh vi, khiến quản trị viên tin rằng hệ thống đang được bảo vệ an toàn trong khi thực tế các payload độc hại đã xâm nhập thành công. Điều này đặc biệt nguy hiểm đối với các tổ chức phụ thuộc nhiều vào ModSecurity mà không có thêm lớp giám sát hoặc kiểm tra bổ sung.

Trước mối đe dọa trên, nhóm phát triển ModSecurity đã nhanh chóng phát hành libmodsecurity3 phiên bản 3.0.14 để khắc phục lỗi xử lý thực thể HTML. Bản vá tập trung cải thiện cơ chế giải mã, đảm bảo các thực thể HTML dù có chứa số 0 đứng đầu vẫn được phân tích đầy đủ trước khi áp dụng các quy tắc bảo mật.

Các chuyên gia an ninh mạng khuyến cáo tất cả người dùng ModSecurity cần cập nhật ngay lên phiên bản mới nhất để loại bỏ nguy cơ bị khai thác. Đồng thời, quản trị viên nên rà soát lại các quy tắc WAF, theo dõi nhật ký truy cập bất thường và kết hợp thêm các biện pháp bảo mật khác nhằm giảm thiểu rủi ro. Việc duy trì cập nhật thường xuyên là yếu tố then chốt để đảm bảo ModSecurity tiếp tục phát huy hiệu quả trong việc bảo vệ các ứng dụng web trước các kỹ thuật tấn công ngày càng tinh vi.