ModSecurity | Немезида ВАФ

Серьезная уязвимость в ModSecurity v3 (CVE-2024-1019)

В популярном WAF ModSecurity (libModSecurity) обнаружена уязвимость CVE-2024-1019 с уровенем 8.6 (ВЫСОКИЙ) по CVSS 3.1, позволяющая произвести обход защиты. Уязвимость возникает из-за декодирования символов URL-адреса в запросе до определения компонента пути URL-адреса запроса и дополнительного компонента строки запроса. Передавая символ %3F в URL-адресе, ModSecurity производит декодирование и ошибочно интерпретирует ? как символ отделения URL-адреса от

,