Se ha reportado una vulnerabilidad en ModSecurity / libModSecurity, identificada como CVE-2024-1019 con una puntuación CVSSv3 de 8.6 (severidad alta), la cual permitiría realizar un bypass de WAF para cargas útiles basadas rutas enviadas a través de URLs de solicitud especialmente diseñadas. Esto se debe a que ModSecurity v3 decodifica los caracteres codificados en porcentaje presentes en las URLs de solicitud antes de separar el componente de la ruta de la URL del componente opcional de la cadena de consulta, lo que resulta en una falta de coincidencia con las aplicaciones de back-end compatibles con RFC.
Productos afectados:
- ModSecurity / libModSecurity v3.0.0 a v3.0.11
Impacto
Esta vulnerabilidad permite ocultar una carga útil de ataque en el componente de la ruta de la URL, evitando así que las reglas del WAF la inspeccionen.
Recomendación
Se recomienda actualizar a la versión 3.0.12, descargando desde el sitio web oficial. Es importante mencionar que ModSecurity v2 no se ve afectada por esta vulnerabilidad.
Enlace última versión disponible:
Referencias
- https://securityonline.info/cve-2024-1019-exposing-modsecuritys-critical-waf-bypass-flaw/
- https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2024-1019
- https://owasp.org/www-project-modsecurity/tab_cves#cve-2024-1019-2024-01-30