Vulnerabilidad en OWASP ModSecurity Core Rule Set (CRS) (CVE-2022-39956)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/09/2022
Última modificación:
03/11/2025
Descripción
OWASP ModSecurity Core Rule Set (CRS) está afectado por una omisión parcial del conjunto de reglas para peticiones HTTP multiparte al enviar una carga útil que usa un esquema de codificación de caracteres por medio del Content-Type o los campos de cabecera MIME multiparte obsoletos que no serán decodificados e inspeccionados por el motor del firewall de aplicaciones web y el conjunto de reglas. Por lo tanto, la carga útil multiparte omitirá la detección. Un backend vulnerable que soporte estos esquemas de codificación puede ser potencialmente explotado. Las versiones heredadas de CRS 3.0.x y 3.1.x están afectadas, así como las versiones 3.2.1 y 3.3.2 actualmente soportadas. Es recomendado a integradores y usuarios actualizar a las versiones 3.2.2 y 3.3.3 respectivamente. La mitigación contra estas vulnerabilidades depende de la instalación de la última versión de ModSecurity (versiones v2.9.6 / v3.0.8)
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:owasp:owasp_modsecurity_core_rule_set:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.2.2 (excluyendo) |
| cpe:2.3:a:owasp:owasp_modsecurity_core_rule_set:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.3 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://lists.debian.org/debian-lts-announce/2023/01/msg00033.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HL2L2GF7GOCWPMJZDUE5OXDSXHGG3XUJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PD56EAYNGB6E6QQH62LAYCONOP6OH5DZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPQ6CCMX3MU4A7MTCGQJA7VMJW3IQDXV/
- https://security.gentoo.org/glsa/202305-25
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://lists.debian.org/debian-lts-announce/2023/01/msg00033.html
- https://lists.debian.org/debian-lts-announce/2025/08/msg00004.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HL2L2GF7GOCWPMJZDUE5OXDSXHGG3XUJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PD56EAYNGB6E6QQH62LAYCONOP6OH5DZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPQ6CCMX3MU4A7MTCGQJA7VMJW3IQDXV/
- https://security.gentoo.org/glsa/202305-25