文章总结: ModSecurity3.0.15及以下版本存在两个可绕过WAF规则的漏洞。CVE-2026-52761因32位系统指针计算错误导致转换异常,建议脱离i386环境。CVE-2026-52747为高危漏洞,其multipart解析器会静默剥离表单换行符,造成WAF与后端解析差异,可被用于多行注入绕过。建议立即升级至3.0.16版本修复风险。 综合评分: 82 文章分类: 漏洞分析,漏洞预警,WEB安全,应用安全
ModSecurity 安全漏洞允许通过精心构造的 HTTP 请求绕过 WAF 规则
原创
ZM ZM
暗镜
2026年7月12日 07:00 北京
在小说阅读器读本章
去阅读
ModSecurity 是一款广泛使用的开源Web 应用程序防火墙 (WAF),存在多个安全漏洞,攻击者可以通过精心构造的 HTTP 请求绕过检测。
这些漏洞被识别为 CVE-2026-52761 和 CVE-2026-52747,影响 ModSecurity 3.0.15 及更早版本。它们已在 3.0.16 版本中得到修复。这些问题揭示了输入转换和请求解析方面的重大不一致,可能会在实际场景中损害 WAF 的保护作用.
第一个漏洞(CVE-2026-52761)被评为中等严重性,影响 ModSecurity 规则中使用的 t:utf8toUnicodet:utf8toUnicodet:utf8toUnicode 转换函数。
该缺陷是由于在指针类型上错误地使用了 sizeof()sizeof()sizeof() 运算符(CWE-467)而导致的,从而根据系统架构的不同而产生不一致的输出。
在 32 位 i386 系统中,指针大小为 4 字节,而在 64 位系统中为 8 字节。由于这种不匹配,转换函数在 i386 平台上会生成截断或错误的 Unicode 表示。
因此,依赖这种转换的安全规则可能无法正确解释恶意载荷,从而使攻击者能够绕过检测机制。
根本原因在于 snprintf()snprintf()snprintf() 调用的实现中,缓冲区大小的计算错误地使用了指针的大小,而不是实际的缓冲区大小。
虽然由于大小对齐的巧合,此问题不会影响 64 位系统,但它会在 32 位环境中引入一个重大的盲点。核心规则集 (CRS) 团队的研究人员在自动化测试中发现了这个问题,促使他们进行进一步调查并公开披露。
虽然目前尚未有公开报道的利用该漏洞的案例,但该漏洞可被远程触发,且触发难度较低,无需身份验证或用户交互。建议的缓解措施是,在补丁程序完全部署之前,迁移出其他 i386 系统。
第二个也是更严重的漏洞(CVE-2026-52747)影响 libmodsecurity 中的 multipart/form-data 解析器,且严重性评级很高。该漏洞允许攻击者利用 ModSecurity 处理请求体的方式与后端应用程序解释请求体的方式之间的不一致,绕过 WAF 检测。
具体来说,解析器会在通过 ARGS 和 ARGS_POST 变量将非文件表单数据字段暴露给 WAF 规则之前,静默地从中去除嵌入的换行符(\r\n 或 \n)。
例如,在检测过程中,类似“A\r\nB”这样的有效载荷会被转换为“AB”。与此同时,后端系统可能仍然会保留换行符进行处理。
这种差异造成了典型的解析器差异漏洞,即 WAF 和后端应用程序看到同一输入的不同表示形式。
攻击者可以利用这种行为来构造能够绕过依赖于换行符的检测规则的有效载荷,例如多行注入攻击或基于分隔符的签名。
问题源于多部分解析器中不正确的字符串处理,其中保留的缓冲区内容被覆盖而不是追加。尽管转换格式错误,但 ModSecurity 内置的严格验证检查(例如 MULTIPART_STRICT_ERROR)仍然未设置,这意味着恶意输入既没有被标记也没有被阻止。
概念验证表明,基于 CRLF 和 LF 的有效载荷都会被简化为单行字符串,且不会触发任何警报,这证实了该漏洞对完整性的影响。由于 ModSecurity 通常部署为第一道防线,因此该缺陷会显著削弱其执行安全策略的能力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《ModSecurity 安全漏洞允许通过精心构造的 HTTP 请求绕过 WAF 规则》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论