Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-33691

6,8 MEDIUM CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft das OWASP Core Rule Set (CRS), ein Satz generischer Angriffserkennungsregeln für kompatible Web Application Firewalls. Betroffen sind die Regeln, die beim Datei-Upload die Dateiendung prüfen, um das Hochladen ausführbarer Skriptdateien – etwa für PHP oder JSP – zu unterbinden. Der Fehler liegt darin, dass diese Regeln Leerzeichen im Dateinamen vor der Auswertung des regulären Ausdrucks nicht normalisieren. Fügt ein Angreifer rund um die Dateiendung ein Leerzeichen ein, greift die Prüfung auf die Punkt-Endung nicht mehr und schlägt fehl. Dadurch lässt sich der Schutzmechanismus umgehen und eine Datei mit gefährlicher, ausführbarer Endung hochladen, obwohl das Regelwerk genau dies verhindern soll. Betroffen sind Umgebungen, die auf das CRS zur Filterung von Uploads setzen; gelangt eine solche Skriptdatei auf den Server, kann sie unter Umständen zur Ausführung von fremdem Code führen.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln