CVE-2026-42268: Luka w modsecurity powodująca wyjątek std::out_of_range

Wysokie ryzyko w ModSecurity 3.0.0-3.0.14 związane z wyjątkiem std::out_of_range. Aktualizuj do 3.0.15, aby zabezpieczyć WAF.
CVE-2026-42268CVSS 8.2Web

CVE-2026-42268: Luka w modsecurity powodująca wyjątek std::out_of_range

Wysokie ryzyko w ModSecurity 3.0.0-3.0.14 związane z wyjątkiem std::out_of_range. Aktualizuj do 3.0.15, aby zabezpieczyć WAF.

CVSS
8.2 HIGH
EPSS
31.54%
Aktywnie wykorzystywana
brak w KEV
Produkt
modsecurity

Co wiadomo

ModSecurity w wersjach od 3.0.0 do przed 3.0.15 zawiera lukę, która powoduje nieobsłużony wyjątek std::out_of_range w libmodsecurity3 przy użyciu reguł @verifySSN, @verifyCPF lub @verifySVNR. Luka wynika z przepełnienia liczby całkowitej bez znaku i została załatana w wersji 3.0.15.

Wpływ biznesowy

Wykorzystanie tej luki może prowadzić do awarii usługi WAF, co obniża poziom ochrony aplikacji webowych i zwiększa ryzyko ataków. Operatorzy infrastruktury powinni zwrócić uwagę na potencjalne przerwy w działaniu oraz możliwość obejścia zabezpieczeń, co może skutkować naruszeniem integralności i dostępności systemów.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację ModSecurity do wersji 3.0.15 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć użycie reguł @verifySSN, @verifyCPF i @verifySVNR oraz monitorować logi pod kątem nieprawidłowości. Warto również przeprowadzić przegląd konfiguracji i ocenić ekspozycję systemu na potencjalne ataki.

Źródła