Vulnerabilidad en OWASP ModSecurity Core Rule Set (CRS) (CVE-2022-39957)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-693
Fallo del mecanismo de protección
Fecha de publicación:
20/09/2022
Última modificación:
03/11/2025
Descripción
OWASP ModSecurity Core Rule Set (CRS) esta afectado por una omisión del cuerpo de respuesta. Un cliente puede emitir un campo de encabezado HTTP Accept que contenga un parámetro opcional "charset" para recibir la respuesta de forma codificada. En función del "charset", esta respuesta puede no ser descodificada por el firewall de la aplicación web. Por lo tanto, un recurso restringido, cuyo acceso sería detectado normalmente, puede omitir la detección. Están afectadas las versiones 3.0.x y 3.1.x del CRS heredado, así como las versiones 3.2.1 y 3.3.2 actualmente soportadas. Es recomendado a integradores y usuarios actualizar a versiones 3.2.2 y 3.3.3 respectivamente
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:owasp:owasp_modsecurity_core_rule_set:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.2.2 (excluyendo) |
| cpe:2.3:a:owasp:owasp_modsecurity_core_rule_set:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.3 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://lists.debian.org/debian-lts-announce/2023/01/msg00033.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HL2L2GF7GOCWPMJZDUE5OXDSXHGG3XUJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PD56EAYNGB6E6QQH62LAYCONOP6OH5DZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPQ6CCMX3MU4A7MTCGQJA7VMJW3IQDXV/
- https://security.gentoo.org/glsa/202305-25
- https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/
- https://lists.debian.org/debian-lts-announce/2023/01/msg00033.html
- https://lists.debian.org/debian-lts-announce/2025/08/msg00004.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HL2L2GF7GOCWPMJZDUE5OXDSXHGG3XUJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PD56EAYNGB6E6QQH62LAYCONOP6OH5DZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YPQ6CCMX3MU4A7MTCGQJA7VMJW3IQDXV/
- https://security.gentoo.org/glsa/202305-25