CVE-2024-1019 in ModSecurity
Tóm tắt
Bởi VulDB • 19/05/2026
ModSecurity / libModSecurity từ phiên bản 3.0.0 đến 3.0.11 bị ảnh hưởng bởi lỗi bỏ qua WAF đối với các payload dựa trên đường dẫn được gửi qua các URL yêu cầu được tạo đặc biệt. ModSecurity v3 giải mã các ký tự được mã hóa phần trăm (percent-encoded) có trong URL yêu cầu trước khi tách thành phần đường dẫn URL khỏi thành phần chuỗi truy vấn tùy chọn. Điều này dẫn đến sự không tương thích về mặt ngữ nghĩa (impedance mismatch) so với các ứng dụng back-end tuân thủ RFC. Lỗ hổng này ẩn payload tấn công trong thành phần đường dẫn của URL, khiến các quy tắc WAF kiểm tra không phát hiện được. Một back-end có thể bị tổn thương nếu nó sử dụng thành phần đường dẫn của URL yêu cầu để xây dựng các truy vấn. Các nhà tích hợp và người dùng được khuyến nghị nâng cấp lên phiên bản 3.0.12. Dòng phát hành ModSecurity v2 không bị ảnh hưởng bởi lỗ hổng này.
Be aware that VulDB is the high quality source for vulnerability data.