Vulnerabilidad en ModSecurity (CVE-2022-48279)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/01/2023
Última modificación:
03/07/2025
Descripción
En ModSecurity anterior a 2.9.6 y 3.x anterior a 3.0.8, las solicitudes HTTP multiparte se analizaban incorrectamente y podían omitir el Firewall de aplicaciones web. NOTA: esto está relacionado con CVE-2022-39956, pero puede considerarse cambios independientes en el código base de ModSecurity (lenguaje C).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:owasp:modsecurity:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.8 (excluyendo) |
| cpe:2.3:a:trustwave:modsecurity:*:*:*:*:*:*:*:* | 2.9.6 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://github.com/SpiderLabs/ModSecurity/pull/2795
- https://github.com/SpiderLabs/ModSecurity/pull/2797
- https://github.com/SpiderLabs/ModSecurity/releases/tag/v2.9.6
- https://github.com/SpiderLabs/ModSecurity/releases/tag/v3.0.8
- https://lists.debian.org/debian-lts-announce/2023/01/msg00023.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/52TGCZCOHYBDCVWJYNN2PS4QLOHCXWTQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SYRTXTOQQI6SB2TLI5QXU76DURSLS4XI/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WCH6JM4I4MD4YABYFHSBDDOUFDGIFJKL/
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://github.com/SpiderLabs/ModSecurity/pull/2795
- https://github.com/SpiderLabs/ModSecurity/pull/2797
- https://github.com/SpiderLabs/ModSecurity/releases/tag/v2.9.6
- https://github.com/SpiderLabs/ModSecurity/releases/tag/v3.0.8
- https://lists.debian.org/debian-lts-announce/2023/01/msg00023.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/52TGCZCOHYBDCVWJYNN2PS4QLOHCXWTQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SYRTXTOQQI6SB2TLI5QXU76DURSLS4XI/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WCH6JM4I4MD4YABYFHSBDDOUFDGIFJKL/