Karel Knibbe

**Nome do software vulnerável e versões afetadas** OWASP ModSecurity Core Rule Set (CRS), versões 3.0.x a 3.3.2 **Descrição** A vulnerabilidade diz respeito a um desvio do corpo da resposta no OWASP ModSecurity Core Rule Set (CRS). Um cliente pode explorar essa vulnerabilidade enviando um campo de cabeçalho HTTP Accept com um parâmetro `charset` opcional para receber a resposta em um formato codificado. Dependendo do `charset`, a resposta pode não ser decodificada pelo firewall de aplicativos web, permitindo potencialmente o acesso a recursos restritos sem detecção. **Recomendações** Para as versões 3.0.x e 3.1.x, atualize para a versão 3.2.2 ou 3.3.3, respectivamente. Para a versão 3.2.1, atualize para a versão 3.2.2. Para a versão 3.3.2, atualize para a versão 3.3.3.

**Nome do software vulnerável e versões afetadas** OWASP ModSecurity Core Rule Set (CRS) versões 3.0.x a 3.3.2 **Descrição** A vulnerabilidade permite que o corpo da resposta seja contornado para extrair sequencialmente pequenas seções de dados indetectáveis, enviando repetidamente um campo de cabeçalho HTTP Range com um intervalo de bytes reduzido. Um recurso restrito, cujo acesso normalmente seria detectado, pode ser extraído do backend, apesar de estar protegido por um firewall de aplicativos web que utiliza o CRS. Pequenas subseções de um recurso restrito podem contornar técnicas de correspondência de padrões e permitir acesso indetectável. **Recomendações** Para resolver a vulnerabilidade, atualize para a versão 3.2.2 se estiver usando atualmente a versão 3.2.1, e atualize para a versão 3.3.3 se estiver usando atualmente a versão 3.3.2. Além disso, configure um nível de paranoia do CRS igual ou superior a 3. Para as versões 3.0.x e 3.1.x, atualize para uma versão suportada e, em seguida, aplique as recomendações acima mencionadas.