Se ha descubierto una vulnerabilidad de severidad crítica en OWASP Core Rule Set, el conjunto de reglas para cortafuegos de aplicaciones web. Un actor malicioso podría eludir las validaciones de seguridad y ejecutar ataques basados en codificación de caracteres en los sistemas protegidos.
Productos afectados
- OWASP Core Rule Set (CRS) rama 4.x: versiones 4.0.0 hasta 4.21.0
- OWASP Core Rule Set (CRS) rama 3.x: versiones 3.3.x hasta 3.3.7
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–21876: con una puntuación de 9.3 en CVSS v3.1. Existe una vulnerabilidad de elusión de validación de conjunto de caracteres en la regla 922110 de OWASP CRS. Un actor malicioso remoto podría enviar solicitudes «multipart» especialmente manipuladas para eludir la inspección del WAF. Esto permitiría que ataques como Cross-Site Scripting lleguen a la aplicación backend sin ser bloqueados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2026-21876
- https://github.com/coreruleset/coreruleset/security/advisories/GHSA-36fv-25j3-r2c5