PT-2022-25143 · Owasp+1 · Owasp Modsecurity Core Rule Set+1

Jan Gora

+1

·

Publicado

2022-09-20

·

Atualizado

2025-08-09

·

CVE-2022-39956

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
OWASP ModSecurity Core Rule Set (CRS), versões 3.0.x a 3.3.2
Descrição
A vulnerabilidade diz respeito a uma contornamento parcial do conjunto de regras para solicitações HTTP multipart. Isso ocorre quando uma carga útil utiliza um esquema de codificação de caracteres por meio dos campos de cabeçalho MIME multipart Content-Type ou do campo obsoleto Content-Transfer-Encoding. Como resultado, o mecanismo do firewall de aplicativos web e o conjunto de regras não decodificam nem inspecionam a carga útil, permitindo que ela contorne a detecção. Um backend vulnerável que suporte esses esquemas de codificação pode ser potencialmente explorado.
Recomendações
Para as versões 3.0.x e 3.1.x, atualize para a versão 3.2.2 ou 3.3.3, respectivamente.
Para a versão 3.2.1, atualize para a versão 3.2.2.
Para a versão 3.3.2, atualize para a versão 3.3.3.
Como medida de mitigação geral, instale a versão mais recente do ModSecurity (v2.9.6 / v3.0.8).

Correção

Incorrect Authorization

Improper Encoding or Escaping of Output

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-116

Identificadores relacionados

CVE-2022-39956
DLA-3283-1
DLA-3293-1
DLA-4265-1
MGASA-2024-0070
OESA-2022-1964
OESA-2025-1559
OESA-2025-1560
OESA-2025-1561

Produtos afetados

Debian
Owasp Modsecurity Core Rule Set