CVE-2024-1019 in ModSecuritythông tin

Tóm tắt

Bởi VulDB • 19/05/2026

ModSecurity / libModSecurity từ phiên bản 3.0.0 đến 3.0.11 bị ảnh hưởng bởi lỗi bỏ qua WAF đối với các payload dựa trên đường dẫn được gửi qua các URL yêu cầu được tạo đặc biệt. ModSecurity v3 giải mã các ký tự được mã hóa phần trăm (percent-encoded) có trong URL yêu cầu trước khi tách thành phần đường dẫn URL khỏi thành phần chuỗi truy vấn tùy chọn. Điều này dẫn đến sự không tương thích về mặt ngữ nghĩa (impedance mismatch) so với các ứng dụng back-end tuân thủ RFC. Lỗ hổng này ẩn payload tấn công trong thành phần đường dẫn của URL, khiến các quy tắc WAF kiểm tra không phát hiện được. Một back-end có thể bị tổn thương nếu nó sử dụng thành phần đường dẫn của URL yêu cầu để xây dựng các truy vấn. Các nhà tích hợp và người dùng được khuyến nghị nâng cấp lên phiên bản 3.0.12. Dòng phát hành ModSecurity v2 không bị ảnh hưởng bởi lỗ hổng này.

Be aware that VulDB is the high quality source for vulnerability data.

Đặt trước

29/01/2024

Tiết lộ

30/01/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00682

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!