Опубликован эксплоит для обхода Cloudflare WAF

Межсетевой экран уровня приложений (Web Application Firewall, WAF) компании Cloudflare используемый более чем 25 млн сайтов, содержит уязвимость, позволяющую обойти правила и осуществить XSS-атаку. Примечательно, что о проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.

В начале этого года ИБ-эксперт Джексон Генри (Jackson Henry), известный в Сети как «CVE-JACKSON-1337», продемонстрировал метод обхода Cloudflare WAF с помощью HTML тега svg, обычно используемого в качестве контейнера для хранения SVG графики. Метод предполагает добавление в тег <svg onl oad=alert("1")> закодированных символов и нулей, что превращает его в эксплоит, позволяющий обойти Cloudflare WAF.

Впервые данный метод обхода был описан экспертом Богданом Коржинским (Bohdan Korzhynskyi) летом 2019 года, в сентябре 2020 года эксперт сообщил, что Cloudflare откатила некоторые правила, предоставляющие возможность обойти XSS-защиту.

Как пояснили представители Cloudflare, компания начала работу над исправлением проблемы сразу после того, как узнала о ней. Компания планирует устранить данный XSS-вектор со следующим выпуском своего движка, который более эффективно обрабатывает кодировку. На данный момент движок проходит тестирование у группы клиентов Cloudflare, а сам релиз ожидается в начале нынешнего года.