# ModSecurity 在 sanitiseArg 操作中可能存在导致DoS的漏洞
## 漏洞概述
ModSecurity是一款开源的跨平台Web应用防火墙(WAF)引擎,支持Apache、IIS和Nginx。在版本2.9.10之前存在一个拒绝服务(DOS)漏洞,该漏洞与GHSA-859r-vvv8-rm8r/CVE-2025-47947类似。
## 影响版本
- 版本2.9.10之前的版本
## 漏洞细节
漏洞存在于`sanitiseArg`函数(包括其别名`sanitizeArg`)中,该函数可被利用通过添加过多的参数导致拒绝服务。
## 影响
影响版本中的`sanitiseArg`或`sanitizeArg`规则会受到类似GHSA-859r-vvv8-rm8r/CVE-2025-47947的拒绝服务攻击。版本2.9.10已修复此漏洞。作为临时解决方案,避免使用包含`sanitiseArg`或`sanitizeArg`动作的规则。
# | POC 描述 | 源链接 | 神龙链接 |
---|
标题: Possible DoS vulnerability in sanitiseArg action · Advisory · owasp-modsecurity/ModSecurity · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读标题: Possible DoS vulnerability · Advisory · owasp-modsecurity/ModSecurity · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读`
标题: Merge commit from fork · owasp-modsecurity/ModSecurity@3a54cce · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读从