Выявлена новая уязвимость в популярном межсетевом экране для веб-приложений (WAF) ModSecurity, которая может привести к отказу в обслуживании (DoS) из-за некорректной обработки пустых XML-элементов. Проблема зарегистрирована под идентификатором CVE-2025-52891 и затрагивает версии ModSecurity с 2.9.8 по 2.9.10. Разработчики уже выпустили исправление в версии 2.9.11, однако администраторам серверов рекомендуется немедленно проверить свои конфигурации и принять меры для защиты инфраструктуры.
Суть уязвимости заключается в том, что при включенной функции SecParseXmlIntoArgs (установленной в значение "On" или "OnlyArgs") межсетевой экран некорректно обрабатывает HTTP-запросы с заголовком Content-Type: application/xml, содержащие пустые XML-теги (например, "<foo></foo>"). В этом случае ModSecurity пытается выполнить парсинг XML-узла, но при проверке длины значения пустого тега возникает ошибка сегментации из-за вызова функции strlen() для нулевого указателя. Это приводит к аварийному завершению процесса WAF, что открывает злоумышленникам возможность для проведения DoS-атак.
Эксплуатация уязвимости не требует высокого уровня привилегий и может быть осуществлена удаленно при минимальной сложности атаки. Достаточно отправить на сервер серию специально сформированных запросов с пустыми XML-элементами, что приведет к многократным сбоям в работе межсетевого экрана. В результате веб-приложение, защищаемое ModSecurity, может оказаться уязвимым к другим атакам, поскольку WAF перестанет корректно фильтровать входящий трафик.
Важно отметить, что по умолчанию функция SecParseXmlIntoArgs отключена, поэтому активная эксплуатация уязвимости возможна только на серверах с измененными конфигурациями. Однако учитывая широкую распространенность ModSecurity в качестве защиты для веб-приложений, данная проблема представляет серьезную угрозу, особенно для корпоративных и государственных систем.
Рекомендуемые меры по устранению уязвимости включают немедленное отключение SecParseXmlIntoArgs в конфигурационных файлах или обновление до версии 2.9.11, в которой проблема устранена. Разработчики также отметили, что данная уязвимость не затрагивает более новую библиотеку libmodsecurity3, написанную на C++ и использующую другой механизм парсинга.
Ошибка была обнаружена исследователем Эндрю Хоу (Andrew Howe, @RedXanadu), который сотрудничал с сообществом для быстрого выпуска патча. Эксперты по кибербезопасности призывают администраторов систем провести аудит настроек WAF и убедиться в отсутствии уязвимых конфигураций. В противном случае злоумышленники могут использовать эту брешь для нарушения работы критически важных сервисов, что особенно актуально для финансового сектора, электронной коммерции и государственных порталов.
Данный случай в очередной раз демонстрирует важность своевременного обновления защитного ПО и мониторинга уязвимостей в используемых компонентах. Даже такой надежный инструмент, как ModSecurity, может стать источником риска при неправильной настройке или использовании устаревших версий. Информационная безопасность требует постоянного внимания, и игнорирование подобных предупреждений может привести к серьезным последствиям, включая финансовые потери и репутационный ущерб.
В ближайшее время ожидается публикация дополнительных технических деталей и рекомендаций от разработчиков ModSecurity, а также возможное появление эксплойтов в открытом доступе. Поэтому системным администраторам и специалистам по кибербезопасности стоит уже сейчас предпринять упреждающие меры для защиты инфраструктуры.
