OWASP ModSecurity Core Rule Set (CRS) подвержен обходу тела ответа для последовательной утечки небольших и необнаруживаемых разделов данных…

OWASP ModSecurity Core Rule Set (CRS) подвержен обходу тела ответа для последовательной утечки небольших и необнаруживаемых разделов данных путем многократной отправки поля заголовка HTTP Range с небольшим диапазоном байтов. Ограниченный ресурс, доступ к которому обычно обнаруживается, может быть извлечен из бэкэнда, несмотря на защиту брандмауэром веб-приложений, использующим CRS. Короткие подразделы ограниченного ресурса могут обойти методы сопоставления с образцом и обеспечить необнаруженный доступ. Устаревшие версии CRS 3.0.x и 3.1.x затронуты, а также текущие поддерживаемые версии 3.2.1 и 3.3.2. Интеграторам и пользователям рекомендуется перейти на версии 3.2.2 и 3.3.3 соответственно и настроить уровень паранойи CRS 3 или выше.