Modsecurity-crs
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.13124
Распределение по критичности
Критический
3
Высокий
6
Средний
6
Низкий
0
Также сопоставлено как (исходные строки): modsecurity-crs
Топ уязвимостей
CVE-2023-38199coreruleset (также известный как OWASP ModSecurity Core Rule Set) до версии 3.3.4 не обнаруживает несколько заголовков запроса Content-Type на некоторых платформах. Это может позволить злоумышленникам обойти WAF с помощью специально созданной полезной нагрузки, также известной как «путаница Content-Type» между WAF и серверным приложением. Это происходит, когда веб-приложение полагается только на последний заголовок Content-Type. Другие платформы могут отклонять дополнительный заголовок Content-Type или объединять конфликтующие заголовки, что приводит к обнаружению как неправильно сформированного заголовка.
CVE-2021-35368OWASP ModSecurity Core Rule Set 3.1.x до 3.1.2, 3.2.x до 3.2.1 и 3.3.x до 3.3.2 подвержены обходу тела запроса через конечный путь.
CVE-2020-22669Modsecurity owasp-modsecurity-crs 3.2.0 (уровень паранойи PL1) имеет уязвимость обхода SQL-инъекций. Злоумышленники могут использовать символы комментариев и присваивания переменных в синтаксисе SQL для обхода защиты Modsecurity WAF и реализации атак SQL-инъекций на веб-приложения.
CVE-2019-13464В OWASP ModSecurity Core Rule Set (CRS) 3.0.2 обнаружена проблема. Использование X.Filename вместо X_Filename может обойти некоторые правила загрузки PHP-скриптов, поскольку PHP автоматически преобразует точки в подчеркивания в определенных контекстах, где точки недопустимы.
CVE-2018-16384Обход SQL-инъекции (aka PL1 bypass) существует в OWASP ModSecurity Core Rule Set (owasp-modsecurity-crs) до v3.1.0-rc3 через {`a`b}, где a - это специальное имя функции (например, "if"), а b - это SQL-выражение, которое необходимо выполнить.
CVE-2022-39958OWASP ModSecurity Core Rule Set (CRS) подвержен обходу тела ответа для последовательной утечки небольших и необнаруживаемых разделов данных путем многократной отправки поля заголовка HTTP Range с небольшим диапазоном байтов. Ограниченный ресурс, доступ к которому обычно обнаруживается, может быть извлечен из бэкэнда, несмотря на защиту брандмауэром веб-приложений, использующим CRS. Короткие подразделы ограниченного ресурса могут обойти методы сопоставления с образцом и обеспечить необнаруженный доступ. Устаревшие версии CRS 3.0.x и 3.1.x затронуты, а также текущие поддерживаемые версии 3.2.1 и 3.3.2. Интеграторам и пользователям рекомендуется перейти на версии 3.2.2 и 3.3.3 соответственно и настроить уровень паранойи CRS 3 или выше.
CVE-2022-39957OWASP ModSecurity Core Rule Set (CRS) подвержен обходу тела ответа. Клиент может выдать поле заголовка HTTP Accept, содержащее необязательный параметр "charset", чтобы получить ответ в закодированной форме. В зависимости от "charset" этот ответ не может быть декодирован брандмауэром веб-приложений. Поэтому ограниченный ресурс, доступ к которому обычно обнаруживается, может обойти обнаружение. Устаревшие версии CRS 3.0.x и 3.1.x затронуты, а также текущие поддерживаемые версии 3.2.1 и 3.3.2. Интеграторам и пользователям рекомендуется перейти на версии 3.2.2 и 3.3.3 соответственно.
CVE-2022-39956OWASP ModSecurity Core Rule Set (CRS) подвержен частичному обходу набора правил для HTTP-запросов multipart путем отправки полезной нагрузки, использующей схему кодирования символов через поля заголовков Content-Type или устаревшие Content-Transfer-Encoding multipart MIME, которые не будут декодированы и проверены механизмом брандмауэра веб-приложений и набором правил. Поэтому полезная нагрузка multipart обойдет обнаружение. Уязвимый бэкэнд, поддерживающий эти схемы кодирования, потенциально может быть использован. Устаревшие версии CRS 3.0.x и 3.1.x затронуты, а также текущие поддерживаемые версии 3.2.1 и 3.3.2. Интеграторам и пользователям рекомендуется перейти на версии 3.2.2 и 3.3.3 соответственно. Устранение этих уязвимостей зависит от установки последней версии ModSecurity (v2.9.6 / v3.0.8).
CVE-2022-39955OWASP ModSecurity Core Rule Set (CRS) подвержен частичному обходу набора правил путем отправки специально созданного поля заголовка HTTP Content-Type, указывающего несколько схем кодирования символов. Уязвимый бэкэнд потенциально может быть использован путем объявления нескольких имен Content-Type "charset" и, следовательно, обхода настраиваемого списка разрешенных "charset" заголовка CRS Content-Type. Закодированная полезная нагрузка может обойти обнаружение CRS таким образом и впоследствии может быть декодирована бэкэндом. Устаревшие версии CRS 3.0.x и 3.1.x затронуты, а также текущие поддерживаемые версии 3.2.1 и 3.3.2. Интеграторам и пользователям рекомендуется перейти на версии 3.2.2 и 3.3.3 соответственно.
CVE-2026-21876Набор основных правил OWASP (CRS) представляет собой набор общих правил обнаружения атак для использования с совместимыми брандмауэрами веб-приложений. До версий 4.22.0 и 3.3.8, действующее правило 922110 имеет ошибку при обработке многочастных запросов с несколькими частями. Когда первое правило в цепочке итерирует над коллекцией (например, «MULTIPART_PART_HEADERS», переменные (`TX:0`, `TX:1`), перезаписываются с каждой итерацией. Только последнее захваченное значение доступно для цепного правила, что означает, что вредоносные центы в более ранних частях могут быть пропущены, если более поздняя часть имеет законный цент. Версии 4.22.0 и 3.3.8 исправляют выпуск.
CVE-2019-11391В OWASP ModSecurity Core Rule Set (CRS) до версии 3.1.0 обнаружена проблема. /rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ReDOS), введя специально созданную строку с $a# в начале и вложенными операторами повторения. ПРИМЕЧАНИЕ: сопровождающий программное обеспечение оспаривает, что это уязвимость, поскольку проблему нельзя использовать через ModSecurity.
CVE-2019-11390В OWASP ModSecurity Core Rule Set (CRS) до версии 3.1.0 обнаружена проблема. /rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ReDOS), введя специально созданную строку с set_error_handler# в начале и вложенными операторами повторения. ПРИМЕЧАНИЕ: сопровождающий программное обеспечение оспаривает, что это уязвимость, поскольку проблему нельзя использовать через ModSecurity.
CVE-2019-11389В OWASP ModSecurity Core Rule Set (CRS) до версии 3.1.0 обнаружена проблема. /rules/REQUEST-933-APPLICATION-ATTACK-PHP.conf позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ReDOS), введя специально созданную строку с next# в начале и вложенными операторами повторения. ПРИМЕЧАНИЕ: сопровождающий программное обеспечение оспаривает, что это уязвимость, поскольку проблему нельзя использовать через ModSecurity.
CVE-2019-11388В OWASP ModSecurity Core Rule Set (CRS) до версии 3.1.0 обнаружена проблема. /rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ReDOS), введя специально созданную строку с вложенными операторами повторения. ПРИМЕЧАНИЕ: сопровождающий программное обеспечение оспаривает, что это уязвимость, поскольку проблему нельзя использовать через ModSecurity.
CVE-2019-11387В OWASP ModSecurity Core Rule Set (CRS) до версии 3.1.0 обнаружена проблема. /rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ReDOS), введя специально созданную строку с вложенными операторами повторения.