Apache HTTP Server w wersjach od 2.4.0 do 2.4.67 zawiera podatność typu buffer underwrite (CWE-124) wywoływaną przez specjalnie spreparowane wyrażenia regularne w konfiguracji serwera. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza poważne zagrożenie dla dostępności, integralności i poufności danych.
▸ Pokaż oryginał (EN)
Buffer Underwrite vulnerability in Apache HTTP Server on crafted regular expressions in the configuration. This issue affects Apache HTTP Server: from 2.4.0 through 2.4.67. Users are recommended to upgrade to version 2.4.68, which fixes the issue.
Podatność polega na błędzie przepełnienia bufora w kierunku dolnym (buffer underwrite), który może zostać wywołany poprzez spreparowane wyrażenia regularne umieszczone w konfiguracji Apache HTTP Server. Zapis danych poza dolną granicą przydzielonego bufora pamięci może prowadzić do uszkodzenia sąsiednich struktur danych lub kodu. Wektor ataku sieciowy bez wymagania uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) wskazuje, że exploit może być realizowany zdalnie z niskim stopniem skomplikowania.
Atakujący może uzyskać pełną kontrolę nad serwerem, co obejmuje nieautoryzowany dostęp do poufnych danych, modyfikację danych oraz możliwość spowodowania niedostępności usługi. Wysoki wpływ na poufność, integralność i dostępność (C:H/I:H/A:H) czyni tę podatność wyjątkowo niebezpieczną.
Należy niezwłocznie zaktualizować Apache HTTP Server do wersji 2.4.68, która zawiera poprawkę eliminującą opisaną podatność. Szczegóły dostępne na stronie producenta: https://httpd.apache.org/security/vulnerabilities_24.html
Apache HTTP Server w wersjach od 2.4.0 do 2.4.67 włącznie.
Podatność została upubliczniona 8 czerwca 2026 roku. Informacja o podatności opublikowana została również na liście oss-security.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache HTTP Server
APPApache2.4.0 – 2.4.68 (bez)
Powiązane podatności
Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie
It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...
A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...
A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...
Use-after-free w Apache HTTP Server z mod_ldap (CVE-2026-29167)