PT-2022-25144 · Owasp+1 · Owasp Modsecurity Core Rule Set+1
Karel Knibbe
+1
·
Publicado
2022-09-20
·
Atualizado
2025-08-09
·
CVE-2022-39957
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OWASP ModSecurity Core Rule Set (CRS), versões 3.0.x a 3.3.2
Descrição
A vulnerabilidade diz respeito a um desvio do corpo da resposta no OWASP ModSecurity Core Rule Set (CRS). Um cliente pode explorar essa vulnerabilidade enviando um campo de cabeçalho HTTP Accept com um parâmetro
charset opcional para receber a resposta em um formato codificado. Dependendo do charset, a resposta pode não ser decodificada pelo firewall de aplicativos web, permitindo potencialmente o acesso a recursos restritos sem detecção.Recomendações
Para as versões 3.0.x e 3.1.x, atualize para a versão 3.2.2 ou 3.3.3, respectivamente.
Para a versão 3.2.1, atualize para a versão 3.2.2.
Para a versão 3.3.2, atualize para a versão 3.3.3.
Correção
Protection Mechanism Failure
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Owasp Modsecurity Core Rule Set