A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue is known to be exploited in the wild. This issue only affects Apache 2.4.49 and not earlier versions. The fix in Apache HTTP Server 2.4.50 was found to be incomplete, see CVE-2021-42013.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache HTTP Server
APPApache2.4.49Fedora Project Fedora
OSFedoraproject3435Netapp Cloud Backup
APPNetappwszystkie wersjeOracle Instantis Enterprisetrack
APPOracle17.117.217.3
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- HTTP Server
- Data dodania do KEVi
- 3 listopada 2021
- Termin remediation (USA)i
- 17 listopada 2021(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Serwer Apache HTTP zawiera lukę path traversal, która pozwala ataczkowi na wykonanie zdalnego kodu, jeśli pliki poza katalogami skonfigurowanymi przez dyrektywy podobne do Alias nie są objęte domyślnym "require all denied" lub jeśli skrypty CGI są włączone. Oryginalna łata wydana pod tym identyfikatorem CVE jest niewystarczająca, przejrzyj informacje o remediacjach pod numerem CVE-2021-42013.
▸ Pokaż oryginał (EN)
Apache HTTP Server contains a path traversal vulnerability that allows an attacker to perform remote code execution if files outside directories configured by Alias-like directives are not under default �require all denied� or if CGI scripts are enabled. The original patch issued under this CVE ID is insufficient, please review remediation information under CVE-2021-42013.
Powiązane podatności
Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit
Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML
Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)
Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox