CloudflareのACME検証ロジックにおける脆弱性の緩和策
Cloudflareは2025年10月に報告されたACME検証ロジックの脆弱性を修正し、特定のACME関連パスでWAF機能が無効化される問題を解決した。
キーポイント
脆弱性の発見と報告
2025年10月13日、FearsOffのセキュリティ研究者がCloudflareのACME検証ロジックの脆弱性を発見し、バグ報奨金プログラムを通じて報告した。
脆弱性の内容
特定のACME HTTP-01チャレンジパスへのリクエストが、WAF機能を無効化し、本来ブロックされるべきリクエストをオリジンに通過させてしまう問題があった。
脆弱性の原因
CloudflareがACMEチャレンジトークンを提供する際、WAF機能を無効化するロジックが、異なるゾーンに関連するトークンでも適用され、適切なWAF処理が行われなかった。
対応と影響
Cloudflareは脆弱性を修正し、顧客側での対応は不要であることを明らかにした。悪用の証拠は確認されていない。
影響分析・編集コメントを表示
影響分析
この記事は、大規模なクラウドサービスプロバイダーにおけるセキュリティ脆弱性の管理プロセスを示しており、バグ報奨金プログラムの有効性と迅速な対応の重要性を強調している。業界全体のセキュリティプラクティスの参考事例となるが、技術的に画期的な内容ではない。
編集コメント
セキュリティ脆弱性の報告から修正までのプロセスを詳細に説明した技術記事。バグ報奨金プログラムの成功事例として参考になるが、AI/テクノロジーニュースとしてはやや限定的な内容。
この投稿は2026年1月20日に更新されました。
2025年10月13日、FearsOffのセキュリティ研究者が、CloudflareのACME(Automatic Certificate Management Environment)検証ロジックにおける脆弱性を特定し、報告しました。この脆弱性は、特定のACME関連パスにおいて一部のWAF(Web Application Firewall)機能を無効化するものでした。脆弱性はCloudflareのバグ報奨金プログラムを通じて報告され、検証されました。
この脆弱性の根本原因は、当社のエッジネットワークがACME HTTP-01チャレンジパス(/.well-known/acme-challenge/*)宛てのリクエストを処理する方法にありました。
本記事では、このプロトコルの仕組みと、脆弱性に対処するために講じた措置について簡潔に説明します。
Cloudflareはこの脆弱性に修正を適用済みであり、Cloudflareのお客様は何らかの対応を取る必要はありません。また、この脆弱性を悪用した悪意のある攻撃者の証拠は一切確認されていません。
ACMEによる証明書検証の仕組み
ACMEは、SSL/TLS証明書の発行、更新、失効を自動化するために使用されるプロトコルです。HTTP-01チャレンジによってドメイン所有権を検証する場合、認証局(CA)は http://{顧客ドメイン}/.well-known/acme-challenge/{トークン値} という形式のHTTPパスに検証トークンが存在することを期待します。
このチャレンジがCloudflareによって管理される証明書オーダーで使用される場合、Cloudflareはこのパスで応答し、CAから提供されたトークンを呼び出し元に返します。提供されたトークンがCloudflare管理のオーダーに関連しない場合、このリクエストは、他のシステムの一部としてドメイン検証を完了しようとしている可能性があるため、顧客のオリジンサーバーに転送されます。詳細については以下のフローを参照してください。他のユースケースについては、ブログ投稿の後半で説明します。

根本的なロジックの欠陥
/.well-known/acme-challenge/* 宛ての特定のリクエストにより、ACMEチャレンジトークンを提供するロジックが、チャレンジリクエストに対するWAF機能を無効化し、本来ブロックされるべきであったチャレンジリクエストをオリジンサーバーに通過させてしまう状況が発生していました。
従来、CloudflareがHTTP-01チャレンジトークンを提供する際、呼び出し元がリクエストしたパスが当社システム内のアクティブなチャレンジのトークンと一致した場合、ACMEチャレンジトークンを提供するロジックはWAF機能を無効化していました。これはCloudflareが直接応答を返すためです。この無効化は、WAF機能がCAによるトークン値の検証を妨害し、自動化された証明書の発行や更新に失敗を引き起こす可能性があったために実施されていました。
しかし、使用されたトークンが別のゾーンに関連付けられており、Cloudflareによって直接管理されていない場合、リクエストはWAFルールセットによる処理を経ることなく、顧客のオリジンサーバーへ進むことが許可されていました。
脆弱性の緩和策
この問題を緩和するため、コード変更をリリースしました。この変更により、セキュリティ機能群が無効化されるのは、リクエストがホスト名に対する有効なACME HTTP-01チャレンジトークンと一致した場合のみに限定されました。この場合に限り、Cloudflareは返すべきチャレンジ応答を持っています。
Cloudflareのお客様は保護されています
上述の通り、Cloudflareはこの脆弱性に修正を適用済みであり、Cloudflareのお客様は何らかの対応を取る必要はありません。加えて、この脆弱性を悪用した悪意のある攻撃者の証拠は一切確認されていません。
迅速な脆弱性情報開示への取り組み
今回も、外部の研究者がこの脆弱性を責任を持って開示してくださったことに感謝します。Cloudflareコミュニティの皆様には、発見された脆弱性を報告していただき、当社の製品とプラットフォームのセキュリティ体制を継続的に改善するお手伝いをいただくことをお願いします。
また、お客様が当社に寄せられる信頼は、Cloudflare上でお客様のインフラストラクチャを成功させる上で最も重要であることを認識しています。当社はこのような脆弱性を最大の関心事として捉え、その影響を緩和するために全力を尽くし続けます。お客様の当社プラットフォームへの継続的な信頼に深く感謝するとともに、全ての活動においてセキュリティを最優先するだけでなく、問題が発生した際には迅速かつ透明性を持って対応することに、これからもコミットしてまいります。
原文を表示
This post was updated on January 20, 2026.
On October 13, 2025, security researchers from FearsOff identified and reported a vulnerability in Cloudflare's ACME (Automatic Certificate Management Environment) validation logic that disabled some of the WAF features on specific ACME-related paths. The vulnerability was reported and validated through Cloudflare’s bug bounty program.
The vulnerability was rooted in how our edge network processed requests destined for the ACME HTTP-01 challenge path (/.well-known/acme-challenge/*).
Here, we’ll briefly explain how this protocol works and the action we took to address the vulnerability.
Cloudflare has patched this vulnerability and there is no action necessary for Cloudflare customers. There is no evidence of any malicious actor abusing this vulnerability.
How ACME works to validate certificates
ACME is a protocol used to automate the issuance, renewal, and revocation of SSL/TLS certificates. When an HTTP-01 challenge is used to validate domain ownership, a Certificate Authority (CA) will expect to find a validation token at the HTTP path following the format of http://{customer domain}/.well-known/acme-challenge/{token value}.
If this challenge is used by a certificate order managed by Cloudflare, then Cloudflare will respond on this path and provide the token provided by the CA to the caller. If the token provided does not correlate to a Cloudflare managed order, then this request would be passed on to the customer origin, since they may be attempting to complete domain validation as a part of some other system. Check out the flow below for more details — other use cases are discussed later in the blog post.
image
The underlying logic flaw
Certain requests to /.well-known/acme-challenge/* would cause the logic serving ACME challenge tokens to disable WAF features on a challenge request, and allow the challenge request to continue to the origin when it should have been blocked.
Previously, when Cloudflare was serving a HTTP-01 challenge token, if the path requested by the caller matched a token for an active challenge in our system, the logic serving an ACME challenge token would disable WAF features, since Cloudflare would be directly serving the response. This is done because those features can interfere with the CA’s ability to validate the token values and would cause failures with automated certificate orders and renewals.
However, in the scenario that the token used was associated with a different zone and not directly managed by Cloudflare, the request would be allowed to proceed onto the customer origin without further processing by WAF rulesets.
How we mitigated this vulnerability
To mitigate this issue, a code change was released. This code change only allows the set of security features to be disabled in the event that the request matches a valid ACME HTTP-01 challenge token for the hostname. In that case, Cloudflare has a challenge response to serve back.
Cloudflare customers are protected
As we noted above, Cloudflare has patched this vulnerability and Cloudflare customers do not need to take any action. In addition, there is no evidence of any malicious actor abusing this vulnerability.
Moving quickly with vulnerability transparency
As always, we thank the external researchers for responsibly disclosing this vulnerability. We encourage the Cloudflare community to submit any identified vulnerabilities to help us continually improve the security posture of our products and platform.
We also recognize that the trust you place in us is paramount to the success of your infrastructure on Cloudflare. We consider these vulnerabilities with the utmost concern and will continue to do everything in our power to mitigate impact. We deeply appreciate your continued trust in our platform and remain committed not only to prioritizing security in all we do, but also acting swiftly and transparently whenever an issue does arise.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み