目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-52747— owasp-modsecurity ModSecurity 处理逻辑错误漏洞

CVSS 8.6 · High EPSS 0.48% · P38

影响版本矩阵 1

厂商产品版本范围状态
owasp-modsecurityModSecurity< 3.0.16affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-52747 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
ModSecurity: Multipart form-data parser silently strips embedded line breaks from form-field values, enabling request-body inspection bypass
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
ModSecurity is an open source, cross platform web application firewall (WAF) engine for Apache, IIS and Nginx. Prior to 3.0.16, the multipart/form-data request body parser in libmodsecurity silently removes embedded line breaks from non-file form-field values before exporting them to ARGS and ARGS_POST because src/request_body_processor/multipart.cc overwrites reserved bytes in m_reserve instead of appending the current buffer. This creates a parser differential between ModSecurity and backend applications that preserve line breaks in form fields, allowing rules that inspect ARGS or ARGS_POST to miss payloads whose dangerous syntax depends on a line break. This issue is fixed in version 3.0.16.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
不正确的行为次序:规范化之前验证
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
owasp-modsecurity ModSecurity 处理逻辑错误漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
owasp-modsecurity ModSecurity是owasp-modsecurity的Web应用防火墙模块。 owasp-modsecurity ModSecurity 3.0.16之前版本存在处理逻辑错误漏洞,该漏洞源于libmodsecurity中multipart/form-data请求体解析器在导出非文件表单字段值至ARGS和ARGS_POST时静默删除嵌入换行符,而非追加当前缓冲区,导致解析差异,可能使依赖换行符的危险语法被安全规则忽略。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
owasp-modsecurityModSecurity < 3.0.16 -

二、漏洞 CVE-2026-52747 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级
Qwen3.6-35B-A3B · 5541 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2026-52747 的情报信息

登录查看更多情报信息。

CVE-2026-52747 补丁与修复 (1)

CVE-2026-52747 厂商安全公告 (1)

CVE-2026-52747 其他参考 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-52747

暂无评论


发表评论