漏洞标题
N/A
漏洞描述信息
ModSecurity (mod_security) 2.1.0 及更早版本中的解释冲突允许远程攻击者通过包含一个 ASCIIZ (0x00) 字节的 application/x-www-form-urlencoded POST 数据绕过请求规则,尽管某些 HTTP 解析器(包括 PHP 5.2.0 和可能还包括 Perl 和 Python 的解析器)仍将此数据视为正常数据进行处理。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Interpretation conflict in ModSecurity (mod_security) 2.1.0 and earlier allows remote attackers to bypass request rules via application/x-www-form-urlencoded POST data that contains an ASCIIZ (0x00) byte, which mod_security treats as a terminator even though it is still processed as normal data by some HTTP parsers including PHP 5.2.0, and possibly parsers in Perl, and Python.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mod_Security ASCIIZ字节绕过安全限制漏洞
漏洞描述信息
mod_security是经常与PHP结合使用的Web应用防火墙。 mod_security在处理特定的HTTP数据时存在漏洞,远程攻击者可能利用此漏洞绕过某些安全限制。 在接收到请求后mod_security会将其解析成为Web应用参数。由于解析入站数据的方式遵循RFC中所定义的规则而不一定是Perl、Python、Java或PHP中的HTTP请求解析器所兼容的方式,因此如果RFC与实际实现方式不匹配时可能存在一些限制绕过漏洞。 其中一种不匹配情况是处理application/x-www-form-ur
CVSS信息
N/A
漏洞类别
授权问题