CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-21876

Critical
Published: Translated: NVD NIST

Summary

Zestaw reguł OWASP (CRS) zawiera ogólne reguły wykrywania ataków dla zgodnych zapór aplikacji webowych. W wersjach przed 4.22.0 i 3.3.8 występuje błąd w regule 922110, który powoduje nadpisywanie zmiennych przechwytywania podczas przetwarzania żądań multipart z wieloma częściami.

Risk Assessment

Organizacje mogą być narażone na ataki, ponieważ złośliwe zestawy znaków w wcześniejszych częściach żądania mogą zostać pominięte, jeśli późniejsza część zawiera prawidłowy zestaw znaków. To może prowadzić do nieautoryzowanego dostępu lub innych form ataków.

Recommendation

Zaleca się aktualizację do wersji 4.22.0 lub 3.3.8, aby naprawić ten problem i zapewnić skuteczną detekcję ataków w żądaniach multipart.

Original NVD description (English source)

The OWASP core rule set (CRS) is a set of generic attack detection rules for use with compatible web application firewalls. Prior to versions 4.22.0 and 3.3.8, the current rule 922110 has a bug when processing multipart requests with multiple parts. When the first rule in a chain iterates over a collection (like `MULTIPART_PART_HEADERS`), the capture variables (`TX:0`, `TX:1`) get overwritten with each iteration. Only the last captured value is available to the chained rule, which means malicious charsets in earlier parts can be missed if a later part has a legitimate charset. Versions 4.22.0 and 3.3.8 patch the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS