CRITICAL🇬🇧 English

CVE-2026-28780

Heap-based Buffer Overflow w mod_proxy_ajp serwera Apache HTTP Server

CVSS 9.8v3.1pub. 2026-05-05upd. 2026-06-30

Krytyczna podatność typu heap-based buffer overflow w module mod_proxy_ajp serwera Apache HTTP Server umożliwia złośliwemu serwerowi AJP nadpisanie 4 bajtów poza granicą bufora sterty. Podatność może prowadzić do wykonania dowolnego kodu lub destabilizacji serwera.

Pokaż oryginał (EN)

Heap-based Buffer Overflow vulnerability in mod_proxy_ajp of Apache HTTP Server. If mod_proxy_ajp connects to a malicious AJP server this AJP server can send a malicious AJP message back to mod_proxy_ajp and cause it to write 4 attacker controlled bytes after the end of a heap based buffer. This issue affects Apache HTTP Server: through 2.4.66. Users are recommended to upgrade to version 2.4.67, which fixes the issue.

🤖 Analiza AI
Jak działa

Moduł mod_proxy_ajp nawiązuje połączenie z backendem AJP. Jeśli backend jest złośliwy lub został przejęty przez atakującego, może odesłać spreparowaną wiadomość AJP. W odpowiedzi na taką wiadomość mod_proxy_ajp zapisuje 4 bajty kontrolowane przez atakującego poza końcem bufora zaalokowanego na stercie (heap-based buffer overflow, CWE-122). Błąd wynika z braku prawidłowej weryfikacji granic podczas przetwarzania odpowiedzi AJP.

Skutki

Atakujący kontrolujący serwer AJP podłączony do podatnego mod_proxy_ajp może doprowadzić do uszkodzenia pamięci, co potencjalnie skutkuje wykonaniem dowolnego kodu (RCE), eskalacją uprawnień lub awarią procesu serwera HTTP.

Mitygacja

Należy zaktualizować Apache HTTP Server do wersji 2.4.67 lub nowszej, która zawiera poprawkę eliminującą podatność. Szczegóły dostępne pod adresem: https://httpd.apache.org/security/vulnerabilities_24.html

Kogo dotyczy

Apache HTTP Server w wersjach do 2.4.66 włącznie, gdy skonfigurowany jest moduł mod_proxy_ajp.

Uwagi

Podatność jest eksploatowalna wyłącznie w scenariuszu, w którym mod_proxy_ajp łączy się ze złośliwym lub przejętym serwerem AJP — wymaga zatem kontroli atakującego nad backendem AJP dostępnym dla serwera Apache.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    < 2.4.67
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2021-42013CRITICAL9.8⚠ KEVten sam produkt

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...

CVE-2021-41773CRITICAL9.8⚠ KEVten sam produkt

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2026-29167CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Apache HTTP Server z mod_ldap (CVE-2026-29167)