Уразливість у modsecurity дозволяє викликати необроблену помилку
Виявлено критичну уразливість у modsecurity (CVE-2026-42268), що викликає помилку через переповнення. Оновіть до версії 3.0.15 для захисту.
- CVSS
- 8.2 HIGH
- EPSS
- 31.54%
- Активно використовується
- немає в KEV
- Продукт
- modsecurity
Що відомо
У modsecurity версій від 3.0.0 до 3.0.14 виявлено уразливість, що викликає необроблену виняткову ситуацію через переповнення беззнакового цілого при використанні певних правил. Ця проблема виправлена у версії 3.0.15.
Бізнес-вплив
Уразливість може призвести до аварійного завершення роботи веб-застосунку або відмови в обслуговуванні, що негативно впливає на доступність веб-сервісів. Це особливо критично для організацій, які використовують modsecurity як веб-фаєрвол для захисту своїх додатків.
Рекомендовані дії адміністратора
Рекомендується оновити modsecurity до версії 3.0.15 або новішої, перевірити використання правил @verifySSN, @verifyCPF та @verifySVNR, обмежити їх застосування до необхідного мінімуму, а також переглянути журнали подій на предмет аномалій. Якщо оновлення неможливе, слід знизити експозицію сервісу та посилити моніторинг.