OWASP Core Rule Set’dagi kritik zaiflik: veb-ilovalar XSS hujumlari qarshisida himoyasiz qolmoqda

Veb-ilovalarni himoyalashda keng qo‘llaniladigan OWASP Core Rule Set (CRS) tizimida aniqlangan yangi va nihoyatda xavfli zaiflik kiberxavfsizlik mutaxassislarini jiddiy ogohlikka chaqirmoqda. Ushbu kamchilik orqali hujumchilar belgilar kodlanishini nazorat qiluvchi (charset) xavfsizlik mexanizmlarini aylanib o‘tib, veb-ilovalarga zararli skriptlarni yashirincha yetkazishi mumkin.

Mazkur zaiflik CVE-2026-21876 identifikatori bilan ro‘yxatga olingan bo‘lib, 9.3 ball (CRITICAL) darajadagi xavf sifatida baholangan. Zaiflik OWASP CRS’dagi 922110-qoida bilan bog‘liq bo‘lib, u aynan multipart so‘rovlar orqali keluvchi xavfli kodlashlarni bloklash uchun mo‘ljallangan edi.

Zaiflik nimadan kelib chiqdi?

922110-qoida asosan UTF-7, UTF-16 kabi xavfli belgilar kodlash usullarini aniqlash va bloklash vazifasini bajaradi. Bunday kodlashlar ko‘pincha Cross-Site Scripting (XSS) hujumlarida filtrlardan yashirinib o‘tish uchun ishlatiladi.

Ammo tekshiruvlar shuni ko‘rsatdiki, ushbu qoida multipart/form-data turidagi so‘rovlarning faqat oxirgi qismini tekshiradi, oldingi qismlar esa e’tibordan chetda qoladi. Natijada hujumchi:

• so‘rovning birinchi qismiga UTF-7 kodlangan zararli JavaScript joylaydi;
• oxirgi qismga esa mutlaqo xavfsiz UTF-8 kontent qo‘shadi.

Tizim faqat oxirgi qismni tekshirganligi sababli, zararli yuklama aniqlanmasdan backend ilovaga yetib boradi.

Qamrov va ta’sir doirasi

Ushbu zaiflik quyidagi OWASP CRS versiyalariga ta’sir ko‘rsatadi:

• CRS 3.3.x (3.3.7 gacha);
• CRS 4.0.0 dan 4.21.0 gacha.

Mazkur versiyalar dunyo bo‘ylab quyidagi WAF texnologiyalari bilan faol ishlatiladi:

• Apache ModSecurity v2;
• ModSecurity v3;
• Coraza WAF.

Mazkur himoya qatlamining ishdan chiqishi hujumchilarga kodlash asosidagi XSS hujumlarini bevosita backend ilovalarga yuborish imkonini beradi. UTF-7 asosidagi XSS hujumlari esa murakkab va aniqlash qiyin bo‘lgani sababli, ularning oqibatlari yanada xavfli bo‘lishi mumkin.

Texnik baholash

• CVE ID: CVE-2026-21876
• CVSS: 9.3 (CRITICAL)
• CWE: CWE-794
• Attack Vector: Tarmoq orqali
• Ta’siri: Maxfiylikning buzilishi, qisman yaxlitlikka zarar

Bu zaiflik veb-ilovaning asosiy mudofaa qatlamlaridan birini butunlay chetlab o‘tishga imkon beradi, bu esa xavfsizlik arxitekturasi uchun jiddiy zarba hisoblanadi.

Qanday choralar ko‘rish kerak?

OWASP CRS jamoasi ushbu muammoni tezkor tarzda bartaraf etib, 2026-yil 6-yanvar kuni rasmiy yamalar (patch)ni e’lon qildi. Tavsiya etiladigan yangilanishlar:

• CRS 4.x foydalanuvchilari → 4.22.0 versiyasiga yangilash;
• CRS 3.3.x foydalanuvchilari → 3.3.8 versiyasiga yangilash.

Yangilanishlar orqaga mos (backward compatible) bo‘lib, qo‘shimcha konfiguratsiya talab etmaydi.

Yangi versiyada tekshiruv mexanizmi tubdan o‘zgartirildi: endi multipart so‘rovlarning har bir qismi alohida hisoblagich (counter-based) orqali saqlanib, har bir bo‘lakdagi kodlash turi alohida tekshiriladi. Bu esa zararli kodlashning qayerda joylashganidan qat’i nazar, aniqlanishini kafolatlaydi.

OWASP CRS’dagi ushbu zaiflik veb-ilovalar xavfsizligida ko‘zga ko‘rinmas, ammo nihoyatda xavfli bo‘lgan chetlab o‘tish mexanizmini yuzaga chiqardi. WAF himoyasiga tayanadigan tashkilotlar uchun bu holat jiddiy ogohlantirish bo‘lib xizmat qiladi.

Shu sababli barcha tizim administratorlari va xavfsizlik mutaxassislari:

• ishlatilayotgan CRS versiyalarini zudlik bilan tekshirishi;
• tavsiya etilgan yangilanishlarni darhol o‘rnatishi;
• WAF loglari va XSS belgilari bo‘yicha monitoringni kuchaytirishi zarur.

Bugungi kunda birgina e’tibordan chetda qolgan qoida butun veb-ilovani hujumchilar uchun ochiq eshikka aylantirishi mumkin. OWASP CRS’dagi ushbu holat esa bunga yana bir bor yaqqol dalildir.