PT-2024-31947 · Unknown · Modsecurity
Yoloflz101
·
Publicado
2024-10-09
·
Atualizado
2025-06-18
·
CVE-2024-46292
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
ModSecurity versões 3.0.12 e anteriores
Descrição
Um estouro de buffer no ModSecurity permite que invasores causem uma negação de serviço (DoS) por meio de uma entrada maliciosa inserida no parâmetro
name. A vulnerabilidade é contestada pelo fornecedor, pois não pode ser reproduzida, e a documentação do produto indica que não há garantia de compatibilidade com valores muito grandes de SecRequestBodyNoFilesLimit, que são necessários para a vulnerabilidade alegada.Recomendações
Para a versão 3.0.12 do ModSecurity, atualize para a versão mais recente para mitigar os riscos.
Para todas as outras versões afetadas, atualize para a versão mais recente, conforme detalhado na documentação oficial.
Como solução alternativa temporária, considere restringir o uso do parâmetro
name para minimizar o risco de exploração.Correção
DoS
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Modsecurity