Python製HTTPライブラリー「h11」に緊急の脆弱性 即時対応を：セキュリティニュースアラート

Python実装のHTTP/1.1ライブラリー「h11」に深刻な脆弱性（CVE-2025-43859）が存在することが分かった。チャンク転送エンコーディング処理における終端検証の不備により、リクエストスマグリング攻撃を受ける危険がある。

[後藤大地，有限会社オングス]

　セキュリティニュースメディアの「SecurityOnline」は2025年4月27日（現地時間）、Python実装のHTTP/1.1プロトコルライブラリーである「h11」に深刻な脆弱（ぜいじゃく）性が存在することを報じた。これを悪用することで、リクエストスマグリング攻撃を実行される可能性がある。

CVSS9.1のクリティカル脆弱性発覚　h11利用者は即時更新を

　修正対象となっている脆弱性は以下の通りだ。

• CVE-2025-43859：　リクエストスマグリングの脆弱性。Python製のHTTP/1.1ライブラリー「h11」において、チャンク転送エンコーディング処理の際に行終端子の検証が不十分である問題が存在する。悪意あるユーザーが細工したリクエストを送信すると、プロキシサーバとh11ライブラリー間でHTTPリクエストの解釈に不整合が生じ、意図しないリクエストを通過させたり、セッション情報が漏えいしたり、不正アクセスを引き起こしたりする可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.1で、深刻度「緊急」（Critical）と評価されている

　この脆弱性の背景には、HTTP/1.1においてチャンク転送エンコーディングが利用される際、本来必要なCRLF（\r\n）終端をh11が正しく検証していなかった実装上の問題がある。任意の2バイトを終了記号として受け入れてしまい、これによってHTTPプロキシとバックエンド間でリクエストの解釈にずれが生じるリスクが生まれていた。

　細工したリクエストによりh11ベースのバックエンドサーバが複数のHTTPリクエストを誤って一つのリクエストと見なして処理する可能性が指摘されている。後続のリクエストに含まれるセッションキーなどの認証情報が漏えいし、他のユーザーの権限を不正に取得される恐れがある。

　影響を受けるバージョンは以下の通りだ。

• h11 0.15.0およびこれ以前のバージョン

　脆弱性を修正したバージョンは以下の通りだ。

• h11 0.16.0およびこれ以降のバージョン

　開発者や運用担当者はh11ライブラリーを最新バージョンへ速やかに更新するとともに、使用中のプロキシソフトウェアについても最新版へのアップデートとセキュリティ設定の見直しを実施すること、またリクエスト解析処理に関するセキュリティテストを定期的に実施することが推奨される。