ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache HTTP Server
APPApache< 2.4.49Debian
OSDebian10.011.09.0Fedora Project Fedora
OSFedoraproject3435Netapp Cloud Backup
APPNetappwszystkie wersjeNetapp Clustered Data Ontap
APPNetappwszystkie wersjeNetapp Storagegrid
APPNetappwszystkie wersjeOracle HTTP Server
APPOracle12.2.1.3.012.2.1.4.0Oracle Instantis Enterprisetrack
APPOracle17.117.217.3Oracle Zfs Storage Appliance Kit
APPOracle8.8Siemens Sinec Nms
APPSiemenswszystkie wersjeSiemens Sinema Server
APPSiemens14.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
Powiązane podatności
CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki