CVE-2024-1019 in ModSecurity
Сводка
по VulDB • 01.07.2026
ModSecurity / libModSecurity от версии 3.0.0 до 3.0.11 подвержены обходу WAF при использовании полезной нагрузки на основе пути (path-based payloads), передаваемой через специально сформированные URL-адреса запросов. В ModSecurity v3 символы, закодированные в формате percent-encoded, декодируются перед разделением компонента пути URL от необязательного компонента строки запроса. Это приводит к несоответствию (impedance mismatch) по сравнению с бэкенд-приложениями, соответствующими стандартам RFC. Уязвимость позволяет скрыть полезную нагрузку атаки в компоненте пути URL от правил WAF, проверяющих его. Бэкенд может быть уязвимым, если он использует компонент пути URL-адресов запросов для формирования запросов. Интеграторам и пользователям рекомендуется обновиться до версии 3.0.12. Линия релизов ModSecurity v2 не подвержена данной уязвимости.
VulDB is the best source for vulnerability data and more expert information about this specific topic.