CRITICAL✓ PATCH🇬🇧 English

CVE-2024-38474

Apache HTTP Server mod_rewrite — wykonanie skryptów lub ujawnienie kodu źródłowego

CVSS 9.8v3.1pub. 2024-07-01upd. 2025-03-25

Podatność w module mod_rewrite serwera Apache HTTP Server 2.4.59 i wcześniejszych umożliwia atakującemu wykonanie skryptów w katalogach niedostępnych bezpośrednio przez URL lub ujawnienie kodu źródłowego skryptów przeznaczonych wyłącznie do wykonania jako CGI. Ze względu na brak wymagań dotyczących uwierzytelnienia i niską złożoność ataku podatność jest oceniana jako krytyczna.

Pokaż oryginał (EN)

Substitution encoding issue in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows attacker to execute scripts in directories permitted by the configuration but not directly reachable by any URL or source disclosure of scripts meant to only to be executed as CGI. Users are recommended to upgrade to version 2.4.60, which fixes this issue. Some RewriteRules that capture and substitute unsafely will now fail unless rewrite flag "UnsafeAllow3F" is specified.

🤖 Analiza AI
Jak działa

Problem wynika z nieprawidłowego kodowania podstawień (substitution encoding) w regułach RewriteRule modułu mod_rewrite. Gdy reguły przechwytują i podstawiają dane wejściowe w sposób niebezpieczny, możliwe jest skonstruowanie żądania, które obejdzie ograniczenia dostępu URL i skieruje serwer do wykonania skryptu znajdującego się w katalogu niedostępnym bezpośrednio, lub ujawni treść tego skryptu zamiast jego wykonania. Podatność można wykorzystać zdalnie, bez uwierzytelnienia i interakcji użytkownika. Po zastosowaniu patcha reguły RewriteRule wykonujące niebezpieczne podstawienia będą odrzucane, chyba że jawnie ustawiono flagę 'UnsafeAllow3F'.

Skutki

Atakujący może zdalnie wykonać nieautoryzowane skrypty CGI w katalogach chronionych przed bezpośrednim dostępem przez URL lub uzyskać dostęp do kodu źródłowego tych skryptów, co może prowadzić do ujawnienia poufnych danych (np. danych uwierzytelniających, logiki aplikacji) oraz kompromitacji integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Apache HTTP Server do wersji 2.4.60, która eliminuje tę podatność. Użytkownicy NetApp Clustered Data ONTAP powinni zastosować patche zgodnie z adviorem producenta (ntap-20240712-0001). Dodatkowo należy przegląć istniejące reguły RewriteRule pod kątem niebezpiecznych podstawień — reguły wymagające dotychczasowego zachowania muszą zostać opatrzone flagą 'UnsafeAllow3F'.

Kogo dotyczy

Apache HTTP Server w wersji 2.4.59 i wcześniejszych; NetApp Clustered Data ONTAP (wersje wskazane w referencjach producenta)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    2.4.0 – 2.4.60 (bez)
  • Netapp Clustered Data Ontap

    OS
    Netapp
    9.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2021-42013CRITICAL9.8⚠ KEVten sam produkt

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...

CVE-2021-41773CRITICAL9.8⚠ KEVten sam produkt

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2026-29167CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Apache HTTP Server z mod_ldap (CVE-2026-29167)