CRITICAL🇬🇧 English

CVE-2026-44631

Buffer Underwrite w Apache HTTP Server — podatność w wyrażeniach regularnych konfiguracji

CVSS 9.8v3.1pub. 2026-06-08upd. 2026-06-11

Apache HTTP Server w wersjach od 2.4.0 do 2.4.67 zawiera podatność typu buffer underwrite (CWE-124) wywoływaną przez specjalnie spreparowane wyrażenia regularne w konfiguracji serwera. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza poważne zagrożenie dla dostępności, integralności i poufności danych.

Pokaż oryginał (EN)

Buffer Underwrite vulnerability in Apache HTTP Server on crafted regular expressions in the configuration. This issue affects Apache HTTP Server: from 2.4.0 through 2.4.67. Users are recommended to upgrade to version 2.4.68, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność polega na błędzie przepełnienia bufora w kierunku dolnym (buffer underwrite), który może zostać wywołany poprzez spreparowane wyrażenia regularne umieszczone w konfiguracji Apache HTTP Server. Zapis danych poza dolną granicą przydzielonego bufora pamięci może prowadzić do uszkodzenia sąsiednich struktur danych lub kodu. Wektor ataku sieciowy bez wymagania uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) wskazuje, że exploit może być realizowany zdalnie z niskim stopniem skomplikowania.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, co obejmuje nieautoryzowany dostęp do poufnych danych, modyfikację danych oraz możliwość spowodowania niedostępności usługi. Wysoki wpływ na poufność, integralność i dostępność (C:H/I:H/A:H) czyni tę podatność wyjątkowo niebezpieczną.

Mitygacja

Należy niezwłocznie zaktualizować Apache HTTP Server do wersji 2.4.68, która zawiera poprawkę eliminującą opisaną podatność. Szczegóły dostępne na stronie producenta: https://httpd.apache.org/security/vulnerabilities_24.html

Kogo dotyczy

Apache HTTP Server w wersjach od 2.4.0 do 2.4.67 włącznie.

Uwagi

Podatność została upubliczniona 8 czerwca 2026 roku. Informacja o podatności opublikowana została również na liście oss-security.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache HTTP Server

    APP
    Apache
    2.4.0 – 2.4.68 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38475CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie

CVE-2021-42013CRITICAL9.8⚠ KEVten sam produkt

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could ...

CVE-2021-41773CRITICAL9.8⚠ KEVten sam produkt

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a ...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2026-29167CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Apache HTTP Server z mod_ldap (CVE-2026-29167)