M4Tteop

**Nome do software vulnerável e versões afetadas** ModSecurity / libModSecurity, versões 3.0.0 a 3.0.11 **Descrição** O problema está relacionado a uma falha de contorno do WAF para cargas de ataque baseadas em caminho enviadas por meio de URLs de solicitação especialmente criadas. O ModSecurity v3 decodifica caracteres codificados em porcentagem presentes nas URLs de solicitação antes de separar o componente de caminho da URL do componente opcional da string de consulta, resultando em uma incompatibilidade com aplicativos de back-end em conformidade com o RFC. Isso oculta uma carga de ataque no componente de caminho da URL das regras do WAF que a inspecionam. Um back-end pode estar vulnerável se usar o componente de caminho das URLs de solicitação para construir consultas. **Recomendações** Para as versões 3.0.0 a 3.0.11 do ModSecurity / libModSecurity, atualize para a versão 3.0.12 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de caracteres codificados por porcentagem nas URLs de solicitação para minimizar o risco de exploração. Além disso, revise e ajuste as regras do WAF para garantir que elas inspecionem adequadamente o componente de caminho da URL.