CRITICAL🇬🇧 English

CVE-2026-42535

Apache HTTP Server mod_dav_fs — manipulacja bazą właściwości DAV i crash procesów

CVSS 9.1pub. 2026-06-08upd. 2026-06-09

Błąd obsługi ścieżek w module mod_dav_fs serwera Apache HTTP Server 2.4.67 i wcześniejszych umożliwia autorowi treści WebDAV bezpośrednią manipulację zaufanymi bazami właściwości DAV. Może to prowadzić do awarii procesów potomnych serwera, co zagraża dostępności i integralności danych.

Pokaż oryginał (EN)

A path handling issue in mod_dav_fs in Apache 2.4.67 and earlier allows a WebDAV content author to directly manipulate trusted DAV property databases, potentially causing child process crashes. Users are recommended to upgrade to version 2.4.68, which fixes this issue.

🤖 Analiza AI
Jak działa

Podatność (CWE-668 — ujawnienie zasobu dla nieodpowiedniego aktora) wynika z nieprawidłowej obsługi ścieżek w module mod_dav_fs. Użytkownik posiadający uprawnienia do publikowania treści przez WebDAV może spreparować żądanie w sposób pozwalający mu na dostęp do wewnętrznych baz właściwości DAV (pliki .dav), które powinny być chronione przed bezpośrednią modyfikacją przez klientów. Manipulacja tymi plikami może wywołać awarię (crash) procesów potomnych Apache, ponieważ serwer traci spójność danych konfiguracyjnych DAV.

Skutki

Atakujący posiadający uprawnienia autora treści WebDAV może zmodyfikować zaufane bazy właściwości DAV oraz powodować powtarzające się awarie procesów potomnych serwera, prowadząc do zakłócenia jego dostępności (DoS) i naruszenia integralności danych.

Mitygacja

Należy zaktualizować Apache HTTP Server do wersji 2.4.68, która eliminuje tę podatność. Patch dostępny zgodnie z informacjami producenta pod adresem https://httpd.apache.org/security/vulnerabilities_24.html

Kogo dotyczy

Apache HTTP Server w wersji 2.4.67 i wcześniejszych z włączonym modułem mod_dav_fs.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    < 2.4.68
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2021-42013CRITICAL9.8⚠ KEVten sam produkt

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...

CVE-2021-41773CRITICAL9.8⚠ KEVten sam produkt

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2026-29167CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Apache HTTP Server z mod_ldap (CVE-2026-29167)

CVE-2026-42535 — Apache HTTP Server mod_dav_fs — manipulacja bazą właściwości DAV i crash procesów — CRITICAL 9.1 | CVEbaza.pl