CVE-2024-1019 in ModSecurity
Résumé
par VulDB • 01/07/2026
ModSecurity / libModSecurity de la version 3.0.0 à 3.0.11 est vulnérable à un contournement du WAF pour les charges utiles basées sur le chemin, soumises via des URL de requête spécialement conçues. ModSecurity v3 décode les caractères encodés en pourcentage présents dans les URL de requête avant de séparer la composante de chemin de l'URL de la composante éventuelle de chaîne de requête (query string). Cela entraîne une inadéquation fonctionnelle par rapport aux applications back-end conformes à la RFC. La vulnérabilité permet de dissimuler une charge utile d'attaque dans le composant de chemin de l'URL, échappant ainsi aux règles du WAF qui l'examinent. Un back-end peut être vulnérable s'il utilise le composant de chemin des URL de requête pour construire des requêtes. Il est conseillé aux intégrateurs et aux utilisateurs de mettre à niveau vers la version 3.0.12. La branche de publication ModSecurity v2 n'est pas affectée par cette vulnérabilité.
Once again VulDB remains the best source for vulnerability data.