Core Rule Set 4.13.0 版本发布：安全防护再升级

Core Rule Set（CRS）是一个开源的Web应用防火墙规则集，主要用于保护Web应用程序免受各种攻击。作为ModSecurity等WAF引擎的核心规则库，CRS提供了针对SQL注入、跨站脚本（XSS）、远程代码执行等常见Web攻击的防护能力。最新发布的4.13.0版本带来了一系列重要的安全增强和优化。

安全问题修复

本次更新中最重要的修复是针对REQUEST_URI双重URL解码问题的安全补丁。这个问题可能导致WAF绕过，因为攻击者可能利用双重解码来规避规则检测。开发团队通过修正URL解码逻辑，确保了安全规则能够正确识别经过编码的攻击载荷。

新增检测能力

4.13.0版本引入了多项新的检测能力，进一步增强了防护覆盖面：

1. 针对CVE-2025-29927（Next.js框架问题）的检测规则，通过识别特定的请求头来防范相关攻击。

2. 新增了一批XSS攻击载荷的检测模式，覆盖了更多变种的跨站脚本攻击技术。

3. 扩展了受限文件扩展名列表（tx.restricted_extensions），新增了.dist和.dpkg-dist等可能包含重要信息的配置文件扩展名。

4. 增加了更多常见的会话cookie名称，提高了会话劫持攻击的检测能力。

规则优化与调整

开发团队对现有规则进行了多项优化：

1. 移除了检测Java源代码泄露的规则952100，这反映了现代开发实践的变化。

2. 修复了原型污染检测规则934130，扩展了其检测模式以覆盖更多攻击变种。

3. 修正了路径遍历检测规则930110，避免了误报情况。

4. 改进了电子邮件地址检测规则，解决了特定格式（如firstname.dockery@host.tld）的误报问题。

性能与稳定性改进

本次更新还包括多项底层优化：

1. 增加了对未设置TX变量的预检查，提高了规则执行的稳定性。

2. 针对Unix远程代码执行规则进行了调整，减少了定量测试中发现的误报情况。

3. 更新了受限上传文件类型列表，保持了与最新威胁形势的同步。

总结

Core Rule Set 4.13.0版本延续了项目对Web应用安全的前沿防护理念，通过新增检测能力、优化现有规则和修复安全问题，为Web应用提供了更全面、更精确的保护。对于使用WAF来保护Web应用的组织来说，及时升级到最新版本是确保安全防护有效性的重要措施。特别是那些运行Next.js等框架的应用，新版本提供的针对性防护尤为重要。