OWASP Çekirdek Kural Kümesinde (CRS) yeni açıklanan bir güvenlik açığı, saldırganların web uygulaması güvenlik duvarlarındaki (WAF’ler) karakter kümesi doğrulamasını atlamasına olanak tanıyarak, tehlikeli veri yüklerinin arka uç uygulamalarına erişmesine olanak tanır.
CVE-2026-21876 olarak izlenen kusur, CRS kuralı 922110’u etkiliyor ve uygulamaları siteler arası komut dosyası çalıştırma (XSS) ve diğer kodlama tabanlı saldırılara maruz bırakabiliyor.
Yöneticilerin derhal yükseltme yapmaları ve izin verilmeyen karakter kümelerini kullanan şüpheli çok parçalı istekler için geçmiş günlükleri incelemeleri önemle tavsiye edilir.
| CVE Kimliği | Bileşen / Kural | Güvenlik Açığı Türü | CVSS v3.1 / Önem Derecesi |
| CVE-2026-21876 | OWASP CRS kuralı 922110 | Karakter seti doğrulama atlaması | 9.3 (KRİTİK) |
Karakter kümesi doğrulama bypass’ı nasıl çalışır?
Kural 922110, CRS’de varsayılan olarak etkinleştirilmiş bir Paranoya Düzey 1 (PL1) kuralıdır. Amacı, çok parçalı/form verisi isteklerinin İçerik Türü başlıklarındaki karakter kümesi parametrelerini doğrulamak ve UTF-7, UTF-16, UTF-32, Shift-JIS, EUC-JP ve diğer beyaz listede yer almayan karakter kümeleri gibi riskli kodlamaları engellemektir.
Ancak, ModSecurity’nin çok parçalı koleksiyonlar üzerindeki zincirlenmiş kuralları işleme biçimindeki bir mantık sorunu nedeniyle, kural yalnızca son çok parçalı bölümün karakter kümesini doğruladı ve önceki bölümlerde kullanılan kötü amaçlı karakter kümelerini göz ardı etti.
Gerçek dünyadaki bir saldırı senaryosunda, bir saldırgan charset=utf-7 kullanarak ilk çok parçalı parçaya UTF-7 kodlu bir XSS yükünü yerleştirebilir ve ardından charset=utf-8 ile iyi huylu bir son parça yerleştirebilir.
Yineleme sırasında yakalanan karakter kümesi değerinin üzerine yazıldığından ve sonunda yalnızca bir kez değerlendirildiğinden, WAF yalnızca güvenli karakter kümesini doğruladı ve isteğin geçmesine izin verdi.
Bu, UTF-7 XSS ve diğer karakter kümesi karışıklığı saldırılarının CRS korumalarını atlamasına ve savunmasız arka uç uygulamalarına erişmesine olanak sağladı.
Güvenlik açığı CRS 3.3’ü etkiliyor. ModSecurity 2.x, ModSecurity 3.x/ x/libmodsecurity ve Coraza dahil olmak üzere desteklenen tüm motorlarda x ve CRS 4.0.0’dan 4.21.0’a kadar.
Sorun motordan ziyade kural mantığında yattığından, bu sürümleri kullanan tüm dağıtımlar etkilenmektedir.
Kusur, CVSS v3.1 puanı 9,3 ile KRİTİK olarak derecelendirildi; bu, ağ tabanlı istismarı, gerekli kimlik doğrulama veya kullanıcı etkileşiminin gerekmemesini, düşük saldırı karmaşıklığını ve WAF sınırını aşan bir kapsam değişikliğini yansıtıyor.
Sorunu çözmek için CRS ekibi 922110 kuralını yeniden tasarladı ve 922140 ve 922150 yardımcı kurallarını ekledi.
Düzeltme, her çok parçalı İçerik Türü değerini benzersiz şekilde dizine alınmış işlem değişkenlerinde saklar ve yalnızca sonuncuyu değil, algılanan her karakter kümesini doğrular.
Bu yaklaşım, desteklenen tüm motorlarda tutarlı bir şekilde çalışır, desteklenmeyen normal ifade özelliklerinden kaçınır ve minimum düzeyde performans yükü ekler. Düzeltmeler CRS 4.22.0 ve CRS 3.3.8’de yayınlandı.
Yöneticilerin derhal yükseltme yapmaları ve izin verilmeyen karakter kümelerini kullanan şüpheli çok parçalı istekler için geçmiş günlükleri incelemeleri önemle tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.