PT-2022-25145 · Owasp+1 · Owasp Modsecurity Core Rule Set+1
Hussein98D
+2
·
Publicado
2022-09-20
·
Atualizado
2025-08-09
·
CVE-2022-39958
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OWASP ModSecurity Core Rule Set (CRS) versões 3.0.x a 3.3.2
Descrição
A vulnerabilidade permite que o corpo da resposta seja contornado para extrair sequencialmente pequenas seções de dados indetectáveis, enviando repetidamente um campo de cabeçalho HTTP Range com um intervalo de bytes reduzido. Um recurso restrito, cujo acesso normalmente seria detectado, pode ser extraído do backend, apesar de estar protegido por um firewall de aplicativos web que utiliza o CRS. Pequenas subseções de um recurso restrito podem contornar técnicas de correspondência de padrões e permitir acesso indetectável.
Recomendações
Para resolver a vulnerabilidade, atualize para a versão 3.2.2 se estiver usando atualmente a versão 3.2.1, e atualize para a versão 3.3.3 se estiver usando atualmente a versão 3.3.2. Além disso, configure um nível de paranoia do CRS igual ou superior a 3.
Para as versões 3.0.x e 3.1.x, atualize para uma versão suportada e, em seguida, aplique as recomendações acima mencionadas.
Correção
Incorrect Authorization
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Owasp Modsecurity Core Rule Set