Błąd nieprawidłowego escapowania danych wyjściowych w module mod_rewrite serwera Apache HTTP Server 2.4.59 i wcześniejszych umożliwia atakującemu mapowanie adresów URL na lokalizacje systemu plików, które nie powinny być bezpośrednio dostępne. Podatność może prowadzić do ujawnienia kodu źródłowego lub zdalnego wykonania kodu (RCE) i jest aktywnie wykorzystywana przez atakujących.
▸ Pokaż oryginał (EN)
Improper escaping of output in mod_rewrite in Apache HTTP Server 2.4.59 and earlier allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure. Substitutions in server context that use a backreferences or variables as the first segment of the substitution are affected. Some unsafe RewiteRules will be broken by this change and the rewrite flag "UnsafePrefixStat" can be used to opt back in once ensuring the substitution is appropriately constrained.
Moduł mod_rewrite niepoprawnie przetwarza znaki specjalne podczas podstawiania (substitution) w kontekście serwera, gdy pierwszym segmentem podstawienia jest backreference lub zmienna. Pozwala to atakującemu na skonstruowanie odpowiednio spreparowanego adresu URL, który zostaje zmapowany na lokalizację systemu plików dostępną dla serwera, lecz normalnie nieosiągalną przez żadne publiczne URL. Skutkiem może być zarówno ujawnienie kodu źródłowego aplikacji, jak i wykonanie kodu na serwerze. Producent wprowadził nową flagę RewriteRule o nazwie 'UnsafePrefixStat', pozwalającą administratorom przywrócić dotychczasowe zachowanie po upewnieniu się o bezpieczeństwie stosowanych reguł.
Atakujący może uzyskać nieautoryzowany dostęp do plików systemu serwera (ujawnienie kodu źródłowego) lub doprowadzić do zdalnego wykonania kodu (RCE) bez konieczności uwierzytelnienia.
Należy jak najszybciej zaktualizować Apache HTTP Server do wersji wyższej niż 2.4.59, stosując patche wskazane przez producenta pod adresem https://httpd.apache.org/security/vulnerabilities_24.html. Administratorzy korzystający z niebezpiecznych reguł RewriteRule powinni zweryfikować ich poprawność przed ewentualnym użyciem flagi 'UnsafePrefixStat'. Dla produktów Netapp i SonicWall należy zastosować patche dostępne u producenta zgodnie z referencjami.
Apache HTTP Server w wersji 2.4.59 i wcześniejszych; produkty zależne: Netapp ONTAP 9, SonicWall SMA 200 Firmware, SonicWall SMA 200, SonicWall SMA 210 Firmware
Podatność została opublikowana 1 lipca 2024 r. Poprawka dostępna w repozytorium Apache pod commitem 9a6157d1e2f7ab15963020381054b48782bc18cf. Figuruje w katalogu CISA KEV jako aktywnie exploitowana.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache HTTP Server
APPApache2.4.0 – 2.4.60 (bez)Netapp Ontap 9
APPNetappwszystkie wersjeSonicwall Sma 200
HWSonicwallwszystkie wersjeSonicwall Sma 200 Firmware
OSSonicwall< 10.2.1.14-75svSonicwall Sma 210
HWSonicwallwszystkie wersjeSonicwall Sma 210 Firmware
OSSonicwall< 10.2.1.14-75svSonicwall Sma 400
HWSonicwallwszystkie wersjeSonicwall Sma 400 Firmware
OSSonicwall< 10.2.1.14-75svSonicwall Sma 410
HWSonicwallwszystkie wersjeSonicwall Sma 410 Firmware
OSSonicwall< 10.2.1.14-75svSonicwall Sma 500v
HWSonicwallwszystkie wersjeSonicwall Sma 500v Firmware
OSSonicwall< 10.2.1.14-75sv
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- HTTP Server
- Data dodania do KEVi
- 1 maja 2025
- Termin remediation (USA)i
- 22 maja 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Apache HTTP Server zawiera lukę polegającą na niewłaściwym escape'owaniu wyjścia w mod_rewrite, która pozwala atakującemu mapować adresy URL na lokalizacje w systemie plików, które serwer może udostępniać, ale nie są zamierzone/bezpośrednio dostępne przez żaden adres URL, powodując wykonanie kodu lub ujawnienie kodu źródłowego.
▸ Pokaż oryginał (EN)
Apache HTTP Server contains an improper escaping of output vulnerability in mod_rewrite that allows an attacker to map URLs to filesystem locations that are permitted to be served by the server but are not intentionally/directly reachable by any URL, resulting in code execution or source code disclosure.
Powiązane podatności
A Stack-based buffer overflow vulnerability in SMA100 Apache httpd server's mod_cgi module environment variabl...
It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...
A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...
A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...
Improper neutralization of a SQL Command leading to SQL Injection vulnerability impacting end-of-life Secure R...