Airween

**Nome do Software Vulnerável e Versões Afetadas** Versões do ModSecurity anteriores à 2.9.10 **Descrição** O problema é uma vulnerabilidade de negação de serviço. Ela afeta a ação `sanitiseArg` (e seu alias `sanitizeArg`), que é vulnerável à adição de um número excessivo de argumentos, resultando em negação de serviço. **Recomendações** Para versões anteriores à 2.9.10, atualize para a versão 2.9.10 para resolver o problema. Como medida temporária, evite utilizar regras que contenham a ação `sanitiseArg` (ou `sanitizeArg`).

**Nome do software vulnerável e versões afetadas** ModSecurity / libModSecurity, versões 3.0.0 a 3.0.11 **Descrição** O problema está relacionado a uma falha de contorno do WAF para cargas de ataque baseadas em caminho enviadas por meio de URLs de solicitação especialmente criadas. O ModSecurity v3 decodifica caracteres codificados em porcentagem presentes nas URLs de solicitação antes de separar o componente de caminho da URL do componente opcional da string de consulta, resultando em uma incompatibilidade com aplicativos de back-end em conformidade com o RFC. Isso oculta uma carga de ataque no componente de caminho da URL das regras do WAF que a inspecionam. Um back-end pode estar vulnerável se usar o componente de caminho das URLs de solicitação para construir consultas. **Recomendações** Para as versões 3.0.0 a 3.0.11 do ModSecurity / libModSecurity, atualize para a versão 3.0.12 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de caracteres codificados por porcentagem nas URLs de solicitação para minimizar o risco de exploração. Além disso, revise e ajuste as regras do WAF para garantir que elas inspecionem adequadamente o componente de caminho da URL.

**Name of the Vulnerable Software and Affected Versions** Trustwave ModSecurity versions 3.0.5 through 3.0.8 **Description** The issue allows a denial of service, causing worker crash and unresponsiveness. This occurs because some inputs cause a segfault in the `Transaction` class for certain configurations. **Recommendations** For Trustwave ModSecurity versions 3.0.5 through 3.0.8, update to version 3.0.9 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Trustwave ModSecurity, versões 3.0.0 a 3.0.3 **Descrição** A vulnerabilidade permite que um invasor envie solicitações maliciosas que podem fazer com que o servidor fique lento ou deixe de responder devido a uma falha no método `Transaction::addRequestHeader`, no arquivo `transaction.cc`. Isso pode causar uma negação de serviço quando enviado rapidamente em grandes volumes. **Recomendações** Para as versões 3.0.0 a 3.0.3 do Trustwave ModSecurity, atualize para uma versão fora desse intervalo para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.