CVE-2024-1019 in ModSecurity
要約
〜によって VulDB • 2026年06月23日
ModSecurity / libModSecurity 3.0.0 から 3.0.11 は、特別に作成されたリクエストURLを介して送信されるパスベースのペイロードに対するWAFバイパスの影響を受けます。ModSecurity v3は、オプションのクエリストリングコンポーネントからURLパスコンポーネントを分離する前に、リクエストURLに含まれるパーセントエンコード文字をデコードします。これにより、RFC準拠のバックエンドアプリケーションとの間でインピーダンスミスマッチが生じます。この脆弱性により、WAFルールが検査している際に攻撃ペイロードがURLのパスコンポーネントに隠蔽されます。リクエストURLのパスコンポーネントを使用してクエリを構築するバックエンドは影響を受ける可能性があります。統合者およびユーザーには3.0.12へのアップグレードを推奨します。ModSecurity v2リリースラインはこの脆弱性の影響を受けません。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.