CVE-2024-1019 in ModSecurity情報

要約

〜によって VulDB • 2026年06月23日

ModSecurity / libModSecurity 3.0.0 から 3.0.11 は、特別に作成されたリクエストURLを介して送信されるパスベースのペイロードに対するWAFバイパスの影響を受けます。ModSecurity v3は、オプションのクエリストリングコンポーネントからURLパスコンポーネントを分離する前に、リクエストURLに含まれるパーセントエンコード文字をデコードします。これにより、RFC準拠のバックエンドアプリケーションとの間でインピーダンスミスマッチが生じます。この脆弱性により、WAFルールが検査している際に攻撃ペイロードがURLのパスコンポーネントに隠蔽されます。リクエストURLのパスコンポーネントを使用してクエリを構築するバックエンドは影響を受ける可能性があります。統合者およびユーザーには3.0.12へのアップグレードを推奨します。ModSecurity v2リリースラインはこの脆弱性の影響を受けません。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

予約する

2024年01月29日

モデレーション

承諾済み

エントリ

VDB-252406

EPSS

0.00682

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!