こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2025/11/30 ~ 2025/12/06 の変更
Wrangler
4.53.0
マイナーアップデート
- deploy 出力に
autoconfig_summaryフィールドを追加
WRANGLER_OUTPUT_FILE_DIRECTORY / WRANGLER_OUTPUT_FILE_PATH に書き出される JSON に autoconfig の要約情報を含めるように改善(autoconfig が走らない場合は undefined)。※実験的機能 - autoconfig の対象フレームワークを拡大
- Nuxt
- Qwik
- React Router
- placement 設定に "targeted" モードを追加
以下のいずれか 1 つを指定して外部リソースに Worker を寄せる配置が可能-
region:"aws:us-east-1"のような外部クラウドのリージョン -
host:"example.com:8123"のような TCP 向けホスト+ポート -
hostname:"example.com"のような HTTP 用ホスト名
-
- デフォルトの JS ターゲットバージョンを ES2024 に更新
パッチアップデート
-
wrangler d1サブコマンドの--helpテキスト改善 -
@cloudflare/workers-utilsの型が Wrangler から正しく export されない問題を修正 - プロジェクト初期化時に
npm install --legacy-peer-depsを使わないように変更 - 依存関係更新
@cloudflare/unenv-preset@2.7.13miniflare@4.20251202.1
4.52.1
パッチアップデート
- 新規 Worker に環境変数またはバインディングが含まれている場合、
wrangler deployが失敗していた問題を修正(#11504) - 依存関係更新
miniflare@4.20251202.0
4.52.0
マイナーアップデート
-
wrangler deployのリモート差分チェック機能(--x-remote-diff-check)の実験フラグを撤廃 - Wrangler 設定生成を支援する unstable ヘルパーをエクスポート
- デプロイ時にシークレット名の衝突も検出するよう改善
- TanStack Start / SolidStart / Angular の autoconfig 対応を追加
- Containers のローカル開発で外部レジストリへ直接認証可能に(
docker login等で pull が動作) - remote proxy session 用 API に
account_idを直接指定できるように拡張 - HTTPS 証明書生成処理を Miniflare に委譲
-
esbuildを 0.27.0 に更新 - 内部向け service binding プロパティ
cross_account_grantをサポート -
wrangler dev --remoteのログ出力が DevTools 依存から tail ベースへ移行(暫定的に旧方式へ戻すフラグあり)
パッチアップデート
- workerd によるネイティブ Node モジュール利用を拡大(punycode / trace_events / cluster / wasi / domains)
- eval() の使用を削除し安定性を向上
- Python パッケージ vendoring 時の重複警告を削除
- autoconfig の文言改善
- autoconfig による絶対パス誤設定問題を修正
- Node 25 対応として D1 実行時の FileHandle を明示的に close
- remote proxy session 作成失敗時に正しくエラーを通知するよう改善
- フレームワーク検出名の表示を改善
- autoconfig framework の
configureを拡張(追加情報を返却可能に) - 依存関係更新
miniflare@4.20251128.0@cloudflare/unenv-preset@2.7.12
Workers
Workers でアクセス制御ポリシーを再利用可能に
Workers に、複数サービス間で使い回せる「再利用可能なアクセス制御ポリシー」が追加されました。これにより、これまで各 Worker ごとに個別設定していたアクセス条件(IP 制限・国別制限・特定のヘッダー要件など)を一度定義すれば、複数の Worker にまとめて適用できるようになり、運用管理の手間が大幅に削減されます。
ポリシーは Cloudflare Zero Trust の仕組みを活用しており、同じアカウント内の Worker 間で統一されたアクセス制御基盤を構築できます。また、ポリシー側を修正すると紐付いているすべての Worker に即時反映されるため、セキュリティ要件の更新や例外条件の追加にもすばやく対応可能です。
- 社内 IP からのみアクセス可能にする内部 API の統一管理
- 複数サービスで共通の地理的制限(例:特定地域からのリクエスト禁止)
- 共通のカスタムヘッダーを要求する認可ルールの一元化
Hyperdrive
リモートデータベースへ安全に接続するローカル開発がより自然に
ローカル開発環境から本番・ステージングなどのリモートデータベースへ、安全かつシームレスに接続できるようになりました。これまでは、IP 許可リストの調整や踏み台サーバの準備など、開発のたびに面倒なネットワーク設定が必要でしたが、Workers からリモートバインディングを介して接続できるようになりました。以下の設定とwrangler dev --remoteを使って開発環境を立ち上げる必要があります。
{
"hyperdrive": [
{
"binding": "HYPERDRIVE",
"id": "your-hyperdrive-id",
"localConnectionString": "postgres://user:password@remote-host.example.com:5432/database?sslmode=require"
}
]
}
WAF
WAF ルール更新(2025-12-01)
今回の更新では、SSRF につながるホストヘッダーの悪用や、特定サービスでの認証回避を狙った攻撃に対する検出が強化されています。既存ルールの精度改善に加え、新しい攻撃パターンを拾うためのシグネチャが追加されました。まずは Log モードで挙動を確認し、誤検知がないことを確認してから Block 適用に進むことが推奨されます。
- 追加・調整(既定アクション)
- Host Header SSRF Beta
- Log(既存検出のアクションを置き換え、ホストヘッダー悪用の検出精度を改善)
- Generic Rules Prototype Pollution Form Header
- Log(新規検出 パラメータ操作によるオブジェクト汚染の攻撃を補足)
- Generic Rules Command Injection
- Log(新規検出)
- Palo Alto GlobalProtect Authentication Bypass(CVE-2025-53815)
- Log → Block(新規検出)
- Host Header SSRF Beta
緊急リリース(2025-12-02)
今回の緊急アップデートでは、WordPress WPify Woo Bundle プラグインに存在する重大な RCE(リモートコード実行)脆弱性への対策が追加されました。攻撃は比較的容易で、悪用されるとサーバ側で任意コードが実行され得るため、早期の防御が強く推奨されます。
- 追加・調整(既定アクション)
- WordPress WPify Woo Bundle RCE(CVE-2025-60187)
- Block(新規検出)
- WordPress WPify Woo Bundle RCE(CVE-2025-60187)
緊急リリース(2025-12-03)
今回の緊急アップデートでは、攻撃者が HTTP/2 トラフィックを悪用してサービス妨害を引き起こす手法に対応するため、HTTP/2 DoS(サービス拒否)に関連する検出ルールが強化されました。大量のストリーム生成や特定パターンの悪用によってサーバ負荷を高める攻撃が増加しており、それらをより早期段階で遮断できるよう改良されています。
- 追加・調整(既定アクション)
- HTTP/2 DoS Detection
- Log → Block(既存ルールの精度向上および防御強化)
- HTTP/2 DoS Detection
最大検査ペイロードサイズの変更(2025-12-05)
WAF が検査対象とするリクエストボディの最大サイズが、これまでの 128 KB から 256 KB に拡大されました。これにより、大きめの JSON ボディやフォームデータを扱う API・アプリケーションでも、より多くの内容を WAF が正確に検査できるようになります。
この変更はセキュリティ強化につながる一方、既存環境ではより多くのリクエストが WAF のスキャン対象となるため、場合によっては新たに検知されるトリガーが増える可能性があります。
- 追加・調整(既定アクション)
- 最大検査ペイロードの上限を 256 KB に拡大(既存 WAF の仕様更新)
Roundcube RCE 脆弱性(CVE-2024-56822)向け緊急対策(2025-12-05)
今回のアップデートでは、Roundcube に存在する重大な RCE(リモートコード実行)脆弱性に対応するため、新しい検出ルールが追加されました。悪用は容易で、メール閲覧などの一般的な操作をきっかけに任意コード実行へつながり得るため、非常に深刻なリスクがあります。
WAF は、この攻撃パターンをより正確に検出できるように強化され、既定アクションとして Block が適用されます。
- 追加・調整(既定アクション)
- Roundcube RCE(CVE-2024-56822)
- Block(新規検出。攻撃の悪用容易性および影響度により既定で遮断)
- Roundcube RCE(CVE-2024-56822)
筆者の感想
最近なんだか Cloudflare の障害が多いですね。。。以下のブログも出ているのでみてみてください。
(React のアレの影響だったのか)
また Coudflare が新設された Agentic AI Foundation に参加するみたいですね。Coudflare は何かを寄与したりする世界があるのだろうか楽しみです。
Discussion