Vulnerabilidad en Libmodsecurity (CVE-2025-27110)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-172 Error de codificación

Fecha de publicación:

25/02/2025

Última modificación:

28/02/2025

Descripción

Libmodsecurity es un componente del proyecto ModSecurity v3. El código base de la librería sirve como interfaz para los conectores ModSecurity que reciben tráfico web y aplican el procesamiento tradicional de ModSecurity. Un error que existe solo en la versión 3.0.13 de Libmodsecurity3 significa que, en 3.0.13, Libmodsecurity3 no puede decodificar entidades HTML codificadas si contienen ceros a la izquierda. La versión 3.0.14 contiene una solución. No se conocen workarounds disponibles.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.90 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

7.90

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno